1、隨著我國(guó)第一個(gè)全國(guó)性下一代互聯(lián)網(wǎng)CNGI核心網(wǎng)CERNET2正式開通，IPV6下的各項(xiàng)應(yīng)用成為學(xué)術(shù)、商業(yè)界研究的熱點(diǎn)。作為IPV4協(xié)議下保障網(wǎng)絡(luò)安全的重要環(huán)節(jié)—防火墻，是否適合在IPV6協(xié)議下應(yīng)用以及如何應(yīng)用?這是本文的中心問題。 本文作者從防火墻的功能和IPV6的安全協(xié)議—IPSEC的功能兩個(gè)方面做了比較，得出了防火墻在IPV6協(xié)議下存在的必要性，并提出了一個(gè)有效結(jié)合IPSEC的防火墻設(shè)計(jì)策略。 該策略，充分利用了IP

2、V6報(bào)文的擴(kuò)展報(bào)頭，設(shè)立端口選項(xiàng)從而使得防火墻在IPV6協(xié)議下，能對(duì)IP地址、端口號(hào)進(jìn)行過濾。為了實(shí)現(xiàn)防火墻在IPv6下的對(duì)數(shù)據(jù)包進(jìn)行內(nèi)容過濾，本文在端口選項(xiàng)中增加了一個(gè)過濾級(jí)別的參數(shù)，終端裝置的防火墻系統(tǒng)通過這個(gè)參數(shù)實(shí)現(xiàn)了數(shù)據(jù)包內(nèi)容過濾。針對(duì)端口選項(xiàng)引入可能導(dǎo)致的新的不安全因素，源端口號(hào)和目的端口號(hào)很可能被篡改，使得防火墻無法有效的保護(hù)內(nèi)部網(wǎng)絡(luò)。建立一個(gè)稱為InternetSecurityAssociationandKeyManage

3、mentProtocol(ISAKMP)驗(yàn)證關(guān)聯(lián)(ValidateAssociation，VA)的安全通道，以保證數(shù)據(jù)包的完整性。 為了驗(yàn)證該策略的可行性，本文作者搭建了IPV6實(shí)驗(yàn)網(wǎng)絡(luò)并實(shí)現(xiàn)了防火墻系統(tǒng)的主要功能。文中，詳細(xì)介紹了系統(tǒng)的架構(gòu)，以及實(shí)現(xiàn)的包過濾的流程圖和算法。最后，作者對(duì)系統(tǒng)的功能、性能、安全性做了實(shí)驗(yàn)和分析。 在實(shí)驗(yàn)中：1.測(cè)試了防火墻的過濾時(shí)延，通過數(shù)學(xué)公式，計(jì)算出使用該策略實(shí)現(xiàn)的防火墻的網(wǎng)絡(luò)吞吐量。