学位论文 > 优秀研究生学位论文题录展示

IPSec穿越NAT的研究与设计

作　者: 王海生
导　师: 武波
学　校: 西安电子科技大学
专　业: 计算机软件与理论
关键词: IPSec NAT VPN AH ESP IKE 路由器防火墙安全网关
分类号: TP393.04
类　型: 硕士论文
年　份: 2006年
下　载: 54次
引　用: 0次
阅　读: 论文下载

内容摘要

本文在深入分析了IPSec和NAT的相关协议的基础上,着重论述了IPSec和NAT的不兼容问题的产生原因,和可能的解决方案。IPSec协议簇可以为IPv4和IPv6提供具有良好互操作性的、高质量的安全服务。IPSec所提供的安全服务包括：访问控制,数据完整性验证,身份鉴别,防重放,加密和流量加密。这些服务都是在IP层实施的,可为IP层及上层协议提供安全防护。IPSec所提供的服务是由AH、ESP和密钥管理协议共同实现的NAT是对不同地址域内的地址进行转换的一种方法。通过在地址域边界对不同的地址和端口进行转换并维持这个转换的映射关系,可以使不同地址域的主机之间进行透明地数据传输。NAT很大程度上缓解了IPv4网络中地址紧张的问题,并且能够使得内／外网络相分离,提供一定的网络安全保障。IPSec协议保护数据包在网络传输过程中不被修改、重放、替换；而NAT却要修改数据包的IP地址、传输控制端口号等信息。这种不允许修改数据包和需要修改数据包所造成的矛盾,导致IPSec和NAT无法共存。本文采用UDP封装IPSec的方法来解决二者之间的矛盾。被封装后的IPSec数据包,由于其UDP协议头不在IPSec的处理范围之内,因此NAT可以修改数据包中的地址、端口等信息,而不影响IPSec的工作。采用该方案可以灵活、方便地搭建VPN,同时保持了IPSec和NAT的主要功能,避免了重新部署网络环境所带来的人力、物力成本。

全文目录

摘要  3-4
Abstract  4-7
第一章绪论  7-15
  1.1 背景  7-9
  1.2 VPN技术概述  9-11
  1.3 NAT技术概述  11-13
  1.4 研究目的及内容  13-15
第二章 IPSec VPN技术  15-29
  2.1 网络安全策略  15
  2.2 IP层安全策略  15-16
  2.3 IPSec协议  16-26
    2.3.1 IPSec概览  16-17
    2.3.2 IPSec体系结构  17-20
      2.3.2.1 IPSec提供的服务  17
      2.3.2.2 Security Associations  17-18
      2.3.2.3 Transport and Tunnel Modes  18-20
    2.3.3 AH  20-22
    2.3.4 ESP  22-24
    2.3.5 AH与ESP对比  24-25
    2.3.6 IKE  25-26
  2.4 VPN  26-28
    2.4.1 VPN的类型  26-27
      2.4.1.1 加密与非加密VPN  26
      2.4.1.2 基于OSI模型分层的VPN  26-27
      2.4.1.3 基于商业功能性的VPN  27
    2.4.2 实现VPN的关键技术  27-28
      2.4.2.1 隧道类型  27
      2.4.2.2 隧道协议  27-28
  2.5 小结  28-29
第三章 NAT技术  29-41
  3.1 私网地址分配  29-30
    3.1.1 动因  29-30
    3.1.2 私网地址空间  30
  3.2 地址转换  30-32
  3.3 地址转换的工作原理  32-37
    3.3.1 地址转换的种类  32-33
    3.3.2 基本NAT(Basic NAT)  33-34
    3.3.3 使用NAT解决地址重叠问题  34-35
    3.3.4 地址重叠(Address Overloading)  35-37
  3.4 NAT所引发的问题  37-39
    3.4.1 NAT的不足  37
    3.4.2 嵌入在IP载荷中的地址信息  37-39
  3.5 小结  39-41
第四章使用IPSec与NAT构建安全的网络  41-45
  4.1 安全区  41-42
  4.2 安全网络的典型拓扑结构  42-44
    4.2.1 使用一个三角防火墙创建DMZ  42
    4.2.2 DMZ置于防火墙之外,公共网络和防火墙之间  42-43
    4.2.3 DMZ置于防火墙之外,但不在公共网络和防火墙之间  43-44
    4.2.4 在层叠的防火墙之间创建DMZ  44
  4.3 小结  44-45
第五章 IPSec与NAT的兼容性问题  45-53
  5.1 协议之间的不兼容问题  45-50
    5.1.1 AH和NAT之间的不兼容问题  45
    5.1.2 ESP和NAT之间的不兼容问题  45-46
    5.1.3 校验和(Checksum)和NAT之间的不兼容问题  46-47
    5.1.4 IKE中的身份标识符和NAT的不兼容问题  47
    5.1.5 固定的IKE端口和PAT的不兼容问题  47-48
    5.1.6 重叠的SPD和NAT的不兼容问题  48-49
    5.1.7 动态NAT引发的不兼容问题  49
    5.1.8 总结  49-50
  5.2 非协议引发的不兼容问题  50-53
第六章 IPSec穿越NAT的解决方案  53-63
  6.1 已有的几种解决方案  53-55
    6.1.1 特定域IP  53
    6.1.2 IPv4封装IPv6  53-54
    6.1.3 专用NAT  54
    6.1.4 UDP封装法  54-55
  6.2 UDP封装的格式  55-56
  6.3 IKE协商  56-59
    6.3.1 互操作性  57
    6.3.2 NAT的检测  57-58
    6.3.3 传输模式下的原始IP地址传送  58-59
    6.3.4 配置问题  59
  6.4 会话管理  59-61
    6.4.1 概述  59-60
    6.4.2 keep_alive机制  60-61
  6.5 IPSec处理  61-62
    6.5.1 数据发送处理  61
    6.5.2 数据接收处理  61-62
  6.6 小结  62-63
第七章结束语  63-65
参考文献  65-67
索引  67-71
致谢  71-73
研究成果  73-74

相似论文

胶片剂量仪在调强放射治疗剂量验证中的应用研究,R815
基于HTTP代理的安全网关的分析和研究,TP393.08
实时荧光定量PCR与普通RT-PCR检测粪肠球菌esp基因的差异,R440
基于Click的模块化软件路由器的包调度算法研究,TP393.05
TD-SCDMA Femto基站鉴权与加密过程的研究与实现,TN929.533
基于硬件防火墙的辅助管理系统服务器设计与实现,TP393.08
基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
甘肃富源化工综合办公平台的分析与设计,TP311.52
军校校园网络可靠性和安全性设计与实现,TP393.18
SIP Trunk网关穿越NAT的方案设计与实现,TN915.05
基于防火墙的快速协议识别系统的设计与实现,TP393.08
一个基于UDP协议的P2P即时通讯软件的设计与实现,TP393.02
基于Click的网络流量蜜罐系统研究,TP393.08
面向高效NoC路由差错码设计,TN47
基于GPRS的配电网远程数据采集系统,TM76
动态网络系统嵌入式控制器的研究与开发,TP393.06
四级后学生学习需求实证研究,H319
防火墙策略冲突检测及可视化,TP393.08
IPv6下基于OpenFlow技术的QoS管理系统的设计,TP315
使用HTTPS隧道和WebService的木马通信及监控系统研究,TP393.08
面向IPv6防火墙的高性能规则匹配关键技术研究与实现,TP393.08