IPSec(Internet Protocol Security,互联网协议安全)协议具有高安全、高保密、有效防御外界攻击的特性,越来越受到业界的重视,并且其应用也日益广泛。由于个人电脑的迅猛增加,加上网络不安全性因素的增长,人们对电脑和网络的安全要求也越来越关注,加快了防火墙的普及和应用。网络的存在离不开局域网的,处于局域网中的电脑要连接外界的Internet大多都要经过NAT(Network Address Traslation,网络地址解析)协议的作用,NAT存在的理由是可以有效解决内部IP地址资源缺乏的问题。在一些安全性很高的场合,就需要有效解决IPSec、防火墙、NAT三者共存的问题,本论文就是在教研室某一个课题的基础上对这个问题进行研究的。 首先,分别对IPSec、NAT和防火墙的工作原理做了必要的研究,详细的分析了三者的工作模式和条件,并且在找出了可能产生冲突的环节。对于IPSec协议和NAT协议,IPSec无论在传输模式还是隧道模式,都整个IP据报进行封装,而NAT协议随时可能修改IP数据头协议,IPSec便认为是对分组完整性的背叛并丢弃该分组,所以AH和NAT不能一起工作。对于IPSec协议和防火墙,冲突的根本原因就是防火墙要访问报文头信息和传输层协议头信息并且可能进行修改,而IPSec对整个报文包括协议头进行加密或者认证,阻碍了防火墙的正常工作。 然后,在以上问题的分析基础之上,提出了不同的解决方案。对于IPSec和NAT两者的冲突,提出的解决方法有隧道模式ESP方案、NAT—T方案、RSIP代替NAT的方案;对于IPSec和防火墙的冲突,提出的解决方法有协议头和数据段分开处理方案等。由于以上方案都有各自的不足和缺陷,本论文提出了一种有效解决的方案:添加新协议头方法。 最后,对于添加新协议头方案做了详细的阐述,说明了协议配置和具体的数据报修改方案,给出了总体结构图和IPSec与NAT冲突解决方案部分的主要代码,并且进行了系统测试。