共查询到19条相似文献,搜索用时 203 毫秒
1.
该方案是将主机自身的IP地址一同进行封装,从NAT网关内部发往NAT网关外部的数据包,在经过UDP解封装后,其源地址更改为原始IP地址,因此目标主机的IP层以上各层会认为通讯对方的IP地址为内部主机原始IP地址,它发送的数据包也将以该原始IP地址为目的地址。利用改进后的UDP封装方案,实现了IPSec报文对NAT设备的透明穿越。 相似文献
2.
提出了一种改进的方法,用以解决IPSec和NAT的冲突问题。该方法引入了标识域和会话域。IPSec接收端通过会话域中载荷的TAG_VALUE的后6个字节来识别源IP地址和端口信息,通过标识域识别IKE报文和IPSec报文。报文对NAT是透明的。实验证明该方法能很好地解决在传输模式下多用户接入的问题而且方便实现。 相似文献
3.
双层IPSec与防火墙协同工作的一个设计方案 总被引:2,自引:0,他引:2
IPSec是为Internet通信提供安全服务的一组标准协议,它封装了传输层中的一些重要信息,而防火墙则需要访问报文中的信息进行控制处理。针对如何能够让IPSec和防火墙协同工作提出一种双层IPSec处理思想:将IP报文分为协议头和数据两部分,使用复合安全关联(Composite SA)对其进行安全处理,使IPSec和防火墙可以各取所需,从而给出上述问题的一个解决方案。该方案的优点在于安全主机与防火墙之间复合安全关联的协商灵活多变,与传统IPSec相比协议格式变化不大,传输效率较高。 相似文献
4.
本文分析了IPSec协议在通道模式下对ICMP差错报文不能正确转发的问题,并对原IPSec协议进行改进,提出了一种对SA改进的IPSec解决方案。改进后的方案能够在保持原IPSec特性的基础上解决该问题,并能够与已有的IPSec实施方案兼容。 相似文献
5.
基于IPv6协议的IPSec与防火墙协同工作设计与实现 总被引:4,自引:1,他引:3
IPSec通过对IP报文的加密和验证,保证数据在传输过程中的安全.由于IPSec封装了报文中一些重要信息,使得IPSec与防火墙不能同时有效地工作.利用IPv6的Hop-by-Hop扩展报头存放端口信息,并建立验证关联以保证端口信息的完整性.把这种方案与防火墙技术结合起来,设计实现网关防火墙的主要功能,并对系统的时延和吞吐量进行了测试与分析,证明了该策略的可行性. 相似文献
6.
双向NAT环境下的IPSec隧道通信研究 总被引:4,自引:0,他引:4
随着Intemet规模的快速增长,NAT作为解决IP地址短缺的有效方法被大量应用于网络拓扑中。但NAT的出现带来了网络安全的复杂性,尤其在广泛应用的基于IPSec的VPN系统中,NAT对于IP报文的修改处理与IPSec协议对于IP报文的安全控制产生了极大的冲突,降低了IPSec安全策略对于网络的适应性。该文分析并比较了现有NAT与IPSec兼容性解决方案的技术关键点及其局限性。针对IPSec隧道双向穿透NAT的具体应用,传统的基于设备的点对点隧道协商方式已经无法满足需求。因此该文从VPN系统的角度给出了协作方式基于隧道接力的IPSec解决方案并进行了设计实现。最后该文对该系统的安全性及效率进行了评估。 相似文献
7.
随着IPv4地址空间耗尽的迫近,人们加紧了对下一代互联网协议——IPv6的研究。到2004年初.IPv6协议的基本框架已经逐步成熟,在越来越广泛的范围内得到实践。由于IPv4设计时,只考虑了信息资源的共享。没有太多考虑安全的需求,这样在IPv4安全性先天不足的情况下,新推出的IPv6在安全性方面作了较大的改动。本文以IPv6为技术研究核心,详细分析了IPv6下的安全协议——IPSec的安全能力.IPSec安全体系的构成、IPSec的工作方式以及IPSec实现方式,论述了IPSec在IP报文的完整性.机密性、数据来源认证和抗伪地址等方面的能力以及IPSec的基本协议——认证报头(AH)和安全封装载荷报头(ESP)。 相似文献
8.
按照RFC4301的建议,研究了一种互联网安全协议(Internet Protocol Security,IPSec)复杂处理模型,使得IPSec的相关处理对用户完全透明。该模型包含完整的分片重组功能,非初始分片报文必须使用初始分片报文的关键字信息进行模组存在的串行检测(Serial Presence Detect,SPD)条目或安全关联(Security Association,SA)条目匹配,解决了IPSec处理中非初始分片报文如何映射到正确的SPD条目或SA条目的问题。在IPSec封装前分片或IPSec封装后分片,可以解决IPSec封装开销导致报文长度膨胀大于最大传输单元(Maximum Transmission Unit,MTU)的问题。文章深入研究了分片处理与重组处理的原理,分析了IPSec处理中分片重组对网络传输效率与安全性的影响。 相似文献
9.
一种直接基于IP封装的VPN模型 总被引:5,自引:0,他引:5
首先介绍IPSec协议,包括AH(Authentlcation Header)协议和ESP(Encapsulation Security Protocol)协议,讨论了IPSec实现VPN的复杂性,然后从发送模块和接收模块两部分来着手分析Linux操作系统IP-in-IP隧道封装的原理.综合对IPSec和IP封装的分析,提出一种直接基于Llnux的IP封装来实现VPN的框架,介绍了扩展的IPIP报文结构和系统处理流程.最后对目前Linux系统上的VPN实现FreeS/WAN进行了分析,并对直接基于IP封装的VPN和FreeS/WAN实现之间进行了比较,得出新的系统在实现上和性能上都具有一定的优势。 相似文献
10.
11.
12.
13.
A More Practical Approach for Single-Packet IP Traceback using Packet Logging and Marking 总被引:1,自引:0,他引:1
《Parallel and Distributed Systems, IEEE Transactions on》2008,19(10):1310-1324
Tracing IP packets to their origins is an important step in defending Internet against denial-of-service attacks. Two kinds of IP traceback techniques have been proposed as packet marking and packet logging. In packet marking, routers probabilistically write their identification information into forwarded packets. This approach incurs little overhead but requires large flow of packets to collect the complete path information. In packet logging, routers record digests of the forwarded packets. This approach makes it possible to trace a single packet and is considered more powerful. At routers forwarding large volume of traffic, the high storage overhead and access time requirement for recording packet digests introduce practicality problems. In this paper, we present a novel scheme to improve the practicality of log-based IP traceback by reducing its overhead on routers. Our approach makes an intelligent use of packet marking to improve scalability of log-based IP traceback. We use mathematical analysis and simulations to evaluate our approach. Our evaluation results show that, compared to the state-of-the-art log-based approach called hash-based IP traceback, our approach maintains the ability to trace single IP packet while reducing the storage overhead by half and the access time overhead by a factor of the number of neighboring routers. 相似文献
14.
张友国 《数字社区&智能家居》2013,(9):5623-5627
人类社会已经进入21世纪,计算机信息网络已深入到世界的各个角落,地域、国家、政府、企业甚至家庭。计算机网络的飞速发展给人来带来了诸多便利,而然其潜在的网络信息安全威胁也弥漫在各个领域。探讨的VPN技术则是建立在GRE over IPSec技术之上,并通过合肥百大集团的网络拓扑对其进行设计与仿真。GREoverIPSecVPN技术是通过GRE与IPSec相结合,而形成的一种安全性更好VPN技术,其主要借用IPSec的安全加密和GRE支持多播的优点,从而使得VPN网络更加安全。该项技术的主要工作原理:将一个完整的组播、广播数据包或非IP数据包封装在一个单播数据包(IPSEC)里,以处理如OSPF的组播或RIP的广播数据流,以完成在IPSec隧道里通信实体之间的动态路由学习。 相似文献
15.
16.
17.
由于Internet协议(IP)技术应用灵活,构网相关的软硬件资源丰富,基于IP技术的网络逐步成为各类公众通信网络、专用通信网络的主体。同时IP技术的开放性也使该种网络的安全威胁更严峻。通过分析安全威胁,介绍网络协议安全(IPSec)的安全作用机制,可知IPSec可在多种网络威胁环境下保护数据分组;进而分析IPSec技术在网络安全中的应用,给出IPSec构造安全虚拟网(VPN)的结构。 相似文献
18.
19.
A firewall is a security guard placed at the point of entry between a private network and the outside network. The function of a firewall is to accept or discard the incoming packets passing through it based on the rules in a ruleset. Approaches employing Neural networks for packet filtering in firewall and packet classification using 2D filters have been proposed in the literature. These approaches suffer from the drawbacks of acceptance of packets from the IP address or ports not specified in the firewall rule set and a restricted search in the face of multiple occurrences of the same IP address or ports respectively. In this paper we propose an Ant Colony Optimization (ACO) based approach for packet filtering in the firewall rule set. Termed Ant Colony Optimization Packet Filtering algorithm (ACO-PF), the scheme unlike its predecessors, considers all multiple occurrences of the same IP address or ports in the firewall rule set during its search process. The other parameters of the rule matching with the compared IP address or ports in the firewall ruleset are retrieved and the firewall decides whether the packet has to be accepted or rejected. Also this scheme has a search space lesser than that of binary search in a worst case scenario. It also strictly filters the packets according to the filter rules in the firewall rule set. It is shown that ACO-PF performs well when compared to other existing packet filtering methods. Experimental results comparing the performance of the ACO-PF scheme with the binary search scheme, sequential search scheme and neural network based approaches are presented. 相似文献