一、IPsec加密数据流与防火墙过滤模式兼容问题(论文文献综述)
陈星星[1](2020)在《基于IPv6的高性能安全网关研究与实现》文中研究指明随着网络应用的高速发展,网络攻击类型越来越多、攻击方式也越来越复杂。保护脆弱的网络环境对安全防护能力的需求也越来越复杂。在IPv4向IPv6演化的进程中,网关对IPv6网络的防护手段需要进行更新的研究。基于以上背景,本文针对IPv6网络中的高性能安全网关中涉及的包分类和安全通道建立问题进行如下工作:(1)提出了一种基于 AVL(Adelson-Velsky-Landis Tree)树和哈希表的 IPv6 快速包分类算法(packet classification based on hash andAdelson-Velsky-Landis Tree,PCHA)。该算法通过哈希表实现对IPv6地址的快速查找,并利用AVL树结构存储流标签来降低空间消耗,从而实现了对IPv6数据包的快速匹配分类。(2)提出了一种适用于安全网关的网间安全通道构建方案。该方案基于F-stack数据转发协议栈,结合IPSec的开源软件实现方案StrongSwan,在网络层实现了对IPv6数据传输的加密。(3)本文就IPv6包分类算法在实际网络中的性能测试问题,基于实体网关和网络流量测试仪进行了实际网络环境的搭建,设计了针对包分类算法对吞吐量影响的测试方案,对IPv6包分类算法进行了真实网络环境下的性能测试与分析。另外,在实体网关上进行了 IPSec安全通道的建立测试,保证了数据传输的安全性。
徐衍鹏[2](2019)在《轻量级IPSec安全网关设计与实现》文中指出随着互联网技术的不断普及,越来越多的人习惯了在网络上传输各种文件、图片、视频等。但是网络中存在诸多隐患,容易被别有用心的黑客利用并造成严重的安全问题。国际互联网工程任务组(IETF)针对网络安全问题提出了一套全新的安全体系结构——IPSec。IPSec协议经过这几年的不断完善和更改,逐渐应用于各个领域,IPSec安全网关就是一个典型的应用实例。尤其伴随物联网工程的不断普及,不同设备之间的通信互联更频繁,对低成本的轻量级IPSec安全网关需求大大增加。但是这种轻量级网关技术,急需对冲突检测及链路优化两个问题进行处理,满足轻量级IPSec安全网关的实现需要。首先,针对IPSec安全网关复杂多样的策略规则容易出现大量冲突,导致流量处理不符合预期的问题,本文提出一种IPSec安全网关的策略冲突动态检测技术,达到对IPSec安全网关的策略列表进行动态冲突分析,并完成冲突解决的预期。通过研究IPSec策略冲突的类型,设计基于IPCDR改进的策略冲突动态检测算法,实现对IPSec特有的保护类型策略的冲突分析的效果。最后通过设计多种策略检测算法和新改进的算法在不同规则个数时算法的处理速率的对比实验,验证新算法的时间性能和更适合处理的策略列表类型。其次,本文针对IPSec安全网关采用多路径技术后触发的网关缓冲不足问题,提出了面向缓冲空间限制的多路径传输拥塞管理机制。通过研究IPSec安全网关在Incast(缓冲区不足)场景下的性能,设计了在多路径传输技术的联合拥塞算法中增加随机退避功能的方案,实现提高IPSec安全网关在Incast场景下的吞吐量的效果。并通过设计该机制的拥塞算法和MPTCP自带的拥塞算法在不同子流数目下吞吐量的对比实验,验证了该机制可以有效缓解网关Incast问题。最后,基于上述关键技术,本文设计并实现了一个轻量级IPSec安全网关系统,并详细阐述了系统的网络拓扑和总体框架,以及具体解密和加密的工作机制,给出了混合组网模式和包过滤模式下的应用效果。
王冠群[3](2018)在《IPSec中间人攻击检测方法与防御策略的研究与应用》文中研究指明IPSec(Internet Protocol Security)作为一种安全协议,相对于其他虚拟专用网(Virtual Private Network,VPN)协议,有其独特的安全机制。同时,IPSec对新兴技术具有较强的灵活性和适应性,这使得IPSec的应用领域和场景不断增多,IPSec通信的安全性也越来越受到人们的关注。本文在真实的IPv4网络环境中,对Windows 7、Windows 10、Android以及iOS这4种操作系统上的5种默认配置模式的IPSec VPN实现了中间人攻击,设计并实现了针对这种攻击的检测防御原型系统。首先,本文分析了IPSec的脆弱性以及中间人攻击的可行性。对IPSec协议建立连接过程中的交互机理进行研究,详细分析了ISAKMP协议框架以及OAKLEY、SKEME两种密钥交换协议的实现原理。在对IKE协商交互过程和封装安全负载协议的通信原理进行阐述后,进一步从攻击和检测防御两个方面进行了分析。其次,本文提出了一种新的IPSec中间人攻击方法。针对IPSec协议建立连接的过程及关键技术,本文首先结合IKE协商的数据包特征,对协商过程的流量进行预处理,再根据不同数据包的特定结构和功能,分别提出作为中间人与客户端和服务器交换密钥材料、协商安全策略、并最终建立IPSec连接的过程和算法。再次,本文提出了一种新的检测方法和防御策略,以应对这种IPSec中间人攻击。在研究过程中,我们对中间人攻击的流量特征进行分析和归纳,提出了基于时间间隔特征的攻击判定方法和基于特定报文频率的攻击类型识别方法。根据不同的检测结果,本文结合IPSec的实现原理和不同的防御目的,提出了简单可行的防御策略,以供IPSec服务提供商和用户参考。最后,本文设计并实现了一个验证平台,该平台包括两个系统,分别是IPSec中间人攻击系统和检测防御原型系统。截止目前,据我们了解,尚未有人公开发表过这方面的工作,因此本文的研究工作具有一定的开创性。该验证平台的实现,在真实网络环境中证明了IPSec应用的通信内容安全面临挑战,对今后的IPSec相关研究提供重要参考,同时也为网络安全防护相关技术提供了一定的借鉴。
晏苏红[4](2016)在《基于IPSec场景的ACL报文过滤方法的研究与实现》文中研究指明IPSec(Internet Protocol Security)是一种和人们生活息息相关的VPN(Virtual Private Network)技术,它通过在公共网络上架接一条虚拟专线的方式,传输加密数据,提高网络安全性,从而可以在用户和Internet之间搭建一个虚拟专用网络。然而,由于IPSec网络配置复杂,应用容易受到网络地址转换(NAT)和网关代理设备等外界因素的影响,所以在实际使用中IPSec场景会出现各种不同的故障。为了准确定位和分析IPSec隧道故障,本文提出了基于IPSec场景的ACL(Access Control List)报文过滤方法,即在IPSec场景中为网络设备配置ACL访问控制列表。本文以TCP/IP协议和ACL报文过滤为理论基础,共设计了IPSec隧道搭建子系统和ACL报文过滤配置子系统两个部分。文中通过运用Cisco packet tracer搭建实验平台进行仿真。首先,搭建网络架构,从客户端到服务器端,无线终端通过瘦AP(Access Point)接入路由器Router1,经IPSec通道到达服务器端路由器Router2,再经核心交换机连接服务器和Internet网络;其次,进行IOS软件配置,包括两端路由器的IPSec配置和ACL配置,IPSec部分配置IKE策略的ISAKMP(网络安全联盟和秘钥管理协议)阶段和IPSec阶段,分别实现隧道的建立和数据的加密传输,ACL部分为两端路由器配置访问控制列表,实现加密数据流的限制;最后,进行实验结果记录和分析,在客户端和服务器端配合IOS和DOS环境,分别记录和分析了ACL配置前后的实验结果。实验结果对比分析显示,配置ACL访问控制列表后,IPSec隧道的加密数据流得到了限制,客户端和服务器端之间的访问权限也发生了变化。根据实验中确定的IPSec隧道加密数据流的五元组信息,可以更加准确地定位IPSec场景的故障。总之,相比于一般的IPSec故障分析方法,基于IPSec场景的ACL报文过滤方法显现出了一定的优势,不仅编写方便、针对性强、使用安全,而且具有更高的工作效率。
PHAN BINH GIANG(潘平江)[5](2015)在《基于IPv6的IPSec与防火墙协同策略的研究与设计》文中进行了进一步梳理IPsec是目前最易于扩展、最完整的网络安全方案。由于IPSec对数据包进行了加密,防火墙无法根据IP地址和端口号等信息对数据包进行过滤,由此产生IPSec协议和防火墙存在兼容性问题的原因所在。针对流量、效率、篡改、漏洞隐患等的问题,本文提出了一种解决方案。在对防火墙技术、IPSec原理、两者冲突机制以及其协同机制研究的基础上,设计了一个防火墙和IPSec能协同工作实现保护网络通信和访问安全的系统。在该系统中,IPSec的SPD(Security Policy Database,安全策略数据库)在安全网关配置,而IPSec的其它部分(如AH,ESP等)则由内部网络主机实现,方便网络之间SPD的一致和判断,使得安全网关在边界防火墙访问控制的基础上增强了IPSec安全策略的判断处理,更加有效地对网络通信数据进行了保护,主机按照防火墙规定的SPD而实现IPSec处理。这样的设计方法实现了端到端通信的加密和认证等安全服务,而且防火墙有能力根据已规定的SPD实现了过滤数据报文。越南现在开始渐进地研究、试验、开展建立IPv6网络系统的阶段,所以本课题的选题对越南开展IPv6协议的研究与实现有一定的用处,可以有效地对越南的网络安全研究提供一定的参考意义。实验测试的结果证明,本系统能使IPSec与防火墙可以协同工作、实现比较简单,共同实现保护网络安全达到预期目标。
陈曦[6](2015)在《龙岩电业局企业网络防火墙及虚拟专用网技术的应用研究》文中提出随着互联网技术的不断提升,企业信息化进程也日益普及,但伴随而来的网络安全问题也逐渐突显。病毒和黑客侵袭等拥有先进技术的攻击手段日趋增多,并且这些攻击都具有隐蔽性强、传播快等特点。所以要保证企业的网络数据安全就必须不断的提升企业局域网的安全性能,加强局域网建设的安全级别,进而通过对网络安全措施的分析研究为企业提供更为安全可靠的网络环境。作为龙岩地区唯一的电力供应商,龙岩电业局的分支机构众多,分布地域广,有的甚至位于偏远山区,142个变电站、127家供电所信息网络分布在不同的ISP网络中。在公共的互联网环境中传送单位内部的数据,经常受到外部网络攻击,数据的安全性难以得到保障。由企业自建网络通道与变电站及供电所互联,安全性虽得到保障,但为此投入的建设和维护费用巨大。因此,迫切需要一种低成本、扩展性强、安全性高的解决方案,在不同的ISP之间互联,并对接入的IP和用户身份认证进行统一管理,构建局本部与变电站、供电所之间安全的网络环境。本文主要对龙岩电业局企业防火墙和VPN结合的改造过程进行分析和研究。解决思路基于平滑过渡的基础上实现对原网络规划区域的防火墙和IPSec VPN的改造。首先,分析并研究防火墙分类和技术原理,IPSec VPN的基础原理和实现方式,通过探讨龙岩电业局原先的网络架构,针对造成局域网信息安全隐患的原因进行分析,设计并创建了一个结合VPN与防火墙的改进方案。由IPSec通过端对端的安全加密通道,防御来自Internet对专业网络的攻击。IPSec VPN将企业内部传输的数据进行封装,在服务器和客户终端之间进行交互认证。并向网络层和上层的信息数据流添加加密字段,采用IDEA、3DES、DES等算法对外隐藏关键信息。利用NAT技术对内外网IP地址进行转换,并通过UDP封装IPSec的方法解决二者之间的矛盾。最后,本研究通过对防火墙和虚拟专用网部署的环境进行功能测试和性能测试,对测试结果进行分析。通过测试结果表明,本文采用的防火墙与IPSec VPN结合的传输模式,充分克服了原先网络的安全问题,最大限度地保留了原有架构,并节约了投资成本。使龙岩电业局和县供电公司及下属的变电站、供电所的数据传输不但可以防止非法用户的访问,而且传输过程中的安全性也得到了保证,改进后的传输网络具备更完善的安全功能。
任政伟[7](2010)在《IPv6下的IPSec与防火墙的协同研究》文中指出随着Internet在政治、经济、文化等领域的快速发展,网络已经成为人们日常生活的一个重要组成部分。与此同时,网络安全问题也随之凸现,并成为企业网络应用所面临的主要问题,网络安全技术受到了前所未有的关注与重视。IPv6作为下一代互联网的核心协议,能够满足当前互联网飞速发展的需要。随着IP地址即将消耗殆尽,IPv4向IPv6过渡是一个必然的趋势。当前世界各国都投入巨资对IPv6技术进行研究,以求在该领域取得领先地位。对IPv6技术下的应用进行研究,也有着十分重要的理论和实用价值。IPv6强制支持IPSec,实现了基于网络层的身份认证以及完整性和机密性。防火墙主要用来保护内部网络,而IPSec主要用来保护数据在网络上传输时的安全,将两种技术相结合,更有利于保护整个网络的数据安全。但二者协同工作时,也存在冲突,防火墙需要访问报文头信息和传输层协议头信息并且可能进行修改,而IPSec对整个报文包括协议头进行加密或者认证,影响了防火墙的正常工作。为了解决IPSec与防火墙的协同工作问题,本文在IPv6的扩展头中的逐跳选项报头上定义一个端口选项,用于记录数据包的源端口和目的端口以及验证信息,并建立验证关联。通过此策略,既能使防火墙能对端口信息进行过滤,又使端口信息的完整性得以保证,实现了IPSec与防火墙两者间的协同工作。为了实现对IPv6下的数据包的内容过滤,本文采用了分布式防火墙的策略,在防火墙处对IP数据包的地址及端口进行过滤,在终端主机处对内容信息进行过滤,这样不仅节约了系统的开销,而且达到了对内容过滤的目的。为了验证该策略的可行性,搭建了实验平台,并实现了防火墙的主要功能。最后对系统从功能、性能、安全性方面进行测试和分析。
周玉洁[8](2008)在《基于IPv6的安全协议IPSec的研究》文中研究指明Internet已经进入了一个无处不在、无所不在的境地,经济、文化、军事和社会活动将会强烈地依赖计算机网络。鉴于Internet的发展速度和广泛的应用领域,最初开发的IPv4网际协议已经表现出很多不足之处,很难满足今后的Internet发展需要,新的网际协议IPv6在这样的呼声和时代背景下应运而生。新的网际协议IPv6有一个最大的优点就是安全性更好,通过IPSec实现IP层的安全,为整个网络的安全又进一步提供了保障。本文详细介绍了下一代网络的发展状况、IPv6协议的基本内容,重点分析了IPv6的安全协议IPSec。IPSec是一种协议套件,可以无缝地为IP引入安全,也可以为数据源提供身份认证、数据完整性检查和机密性机制、防止数据受到攻击。IPSec对于IPv4是可选项,而对IPv6是必选项。IPSec可为运行于IP顶部的任何一种协议提供保护,如TCP、UDP和ICMP等。IPSec是目前最易于扩展、最完整的网络安全方案。论文详细论述了IPSec的基本协议认证扩展报头(AH)、安全封装载荷报头(ESP),以及IPSec安全体系的其它组成部分如安全策略、加密和认证算法、密钥管理等如何合作,共同完成对IP报文的安全保护。并通过实验详细介绍了IPv6协议安装以及IPSec的配置。通过网络嗅探器探测到数据包头,验证了IPSec提供的安全性。实验分析,使用IPSec实现安全访问,一定程度上降低了网络性能。同时,进一步阐述和分析了IPComp的相关理论。由于IPSec对数据包的加密,致使TCP层的端口号无法被防火墙访问到,这是IPSec与防火墙的矛盾点。文中提出了一种解决方案,使IPSec与防火墙可以很好的协同工作,共同实现对网络安全的保护。论文最后进行了归纳总结,指出了不足和改进,并对IPv6及IPSec进行了展望,指出IPSec是IPv6的核心,研究IPSec对下一代网络安全具有十分重要的意义。
李记[9](2008)在《混合网络下IPSec与现有网络设备协同工作的研究》文中进行了进一步梳理IPSec、NAT、NAT-PT和防火墙在特定的应用领域都是不可缺少的。IPSec保障了IP包在传输过程中的安全性,能够为IP包提供数据源认证、完整性保护、加密性和抗重放攻击等安全服务;NAT极大地缓解了IPv4地址严重不足的压力,能够使拥有一个或少量公网IPv4地址的单位充分地享用互联网资源;NAT-PT解决了纯IPv4主机与纯IPv6主机之间不能互通的问题;防火墙作为内、外网的隔离工具,可以有效地保障内部网络的安全性。经IPSec保护的IP包穿越NAT、NAT-PT和防火墙时,不可避免的产生IPSec与NAT、IPSec与NAT-PT和IPSec与防火墙共存的情景。但是,它们共存时却存在一些根本性的矛盾:IPSec的基本思想是防止中间节点对IP包进行伪造、篡改和窃听;NAT和NAT-PT却要转换IP包的IP地址或端口;防火墙却要读取IP包的IP地址和端口等信息。在IPSec与NAT的一种协同工作方案即UDP头封装方案的基础上,本论文通过扩展NAT-D载荷和ISAKMP头,并在IP头和AH/ESP头之间插入UDP头和“非IKE标识”,分别在第三章和第四章提出了改进的UDP头封装和UDPNATPT封装两类协同工作方案,前者用来解决IPSec与NAT不能协同工作的问题,后者用来解决IPSec与NAT-PT不能协同工作的问题。另外,通过在IP头和AH/ESP头之间插入UDP头和“非IKE标识”,本论文还提出了UDPFirewall封装方案,它用来解决IPSec与防火墙不能协同工作的问题。为了真实地贴近网络的现实状况,本论文还深入地研究了IPSec与NAT和NAT-PT、IPSec与NAT和防火墙、IPSec与NAT-PT和防火墙三方协同工作的可能性。结果发现在前面几章的基础上,上述三对组合是完全能够协同工作的。由于UDPNATPT封装和UDPFirewall封装两类协同工作方案都是在改进的UDP头封装方案的基础上提出的,因此本论文只在第七章对改进的UDP头封装方案加以实现,实验结果表明它是有效且可行的。
高燕[10](2007)在《基于IPSec的嵌入式VPN安全网关设计》文中研究表明随着网络的快速发展,人们都在利用方便快捷的网络传媒进行信息交流、资源共享。网络的开放性带来了前所未有的有利条件,但同时也潜藏着各种未知的安全隐患。本文是针对小型企业的内部网络安全开发的VPN安全网关。论文中首先分析了网络中存在的各种安全问题,介绍了一些常用的网络安全解决方案,包括防火墙技术、入侵检测技术、VPN技术、IPSec加密和认证技术等。通过分析企业级安全网关的功能需求,针对不同的环境和资源建立不同的安全保护机制。我们选用现在比较流行的专用网技术VPN,它是搭建在公共网络设施的基础上,通过隧道技术、认证技术等为数据流提供机密性和完整性保障。IPSec是实现VPN技术的一项标准安全协议,它的突出优势是通过加密和认证算法的运用,提供高强度的数据保密性与数据源认证,因此在实现安全网关时主要选择基于IPSec技术的VPN网关实现。文中在对企业安全需求分析的基础上给出了一个VPN安全网关的总体设计方案。网关的实现体现在硬件结构设计和软件结构设计两个方面。本人的工作重点是实现基于IPSec的VPN安全网关设计,因此在系统的软件实现部分重点介绍了IPSec VPN的具体实现模型,并描述了数据在VPN网关中进行IPSec处理时的处理流程。NAT技术在VPN网关中也得到了广泛应用,但是如果将IPSec与NAT技术组合使用就会出现一些不相兼容的问题,文中在研究分析后介绍了两种方法来解决这个问题。文中在硬件实现部分介绍了安全网关的硬件开发平台IXDP425开发板,它是在IXP425网络处理器的基础上开发的一款高性能评估板。IXP425与传统的网络处理器相比,支持多种不同数据的实时线速处理,并提供多个高速以太网口与网络相连,它的独特之处是提供了专门的网络处理引擎以支持数据的硬件加密,这在实现IPSec时有很大优势。文章最后给出了嵌入式操作系统Linux在IXDP425开发板上的移植过程,主要包括交叉编译环境的创建、内核的剪裁配置、文件系统的创建等。
二、IPsec加密数据流与防火墙过滤模式兼容问题(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、IPsec加密数据流与防火墙过滤模式兼容问题(论文提纲范文)
(1)基于IPv6的高性能安全网关研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 国内外研究现状 |
| 1.2.1 IPv6包分类算法研究现状 |
| 1.2.2 网络防护技术研究现状 |
| 1.3 论文的主要内容及架构 |
| 1.3.1 论文的主要研究内容 |
| 1.3.2 论文的组织结构 |
| 第二章 基础理论与关键技术 |
| 2.1 IPv6关键技术 |
| 2.1.1 IPv6发展概述 |
| 2.1.2 IPv6协议介绍 |
| 2.1.3 IPv6过渡技术 |
| 2.2 高速数据转发 |
| 2.2.1 传统内核包处理 |
| 2.2.2 DPDK概述 |
| 2.2.3 DPDK核心组件 |
| 2.2.4 DPDK关键技术 |
| 2.3 本章小结 |
| 第三章 大规模规则集下的IPv6快速包分类算法 |
| 3.1 IPv6下的包分类问题 |
| 3.1.1 包分类的定义 |
| 3.1.2 包分类算法研究 |
| 3.1.3 包分类算法的评价指标 |
| 3.2 基于哈希和AVL树的3元组快速包分类算法 |
| 3.2.1 问题定义 |
| 3.2.2 哈希表构建 |
| 3.2.3 AVL树构建 |
| 3.2.4 匹配过程 |
| 3.2.5 复杂度分析 |
| 3.3 算法性能实验与分析 |
| 3.3.1 实验准备 |
| 3.3.2 规则集预处理时间对比 |
| 3.3.3 内存消耗对比 |
| 3.3.4 吞吐量对比 |
| 3.3.5 哈希冲突统计 |
| 3.4 本章小结 |
| 第四章 网间安全传输协议在安全网关中的研究与实现 |
| 4.1 IPSec协议体系简介 |
| 4.1.1 体系结构 |
| 4.1.2 认证头(AH) |
| 4.1.3 封装安全载荷(ESP) |
| 4.1.4 因特网密钥交换协议(IKE) |
| 4.1.5 安全关联 |
| 4.2 IPSec工作模式 |
| 4.3 IPSec的应用 |
| 4.3.1 网络攻击防御 |
| 4.3.2 数据传输加密 |
| 4.3.3 第三层防护 |
| 4.4 安全通道的实现 |
| 4.4.1 方案设计 |
| 4.4.2 StrongSwan安装与配置过程 |
| 4.4.3 结果验证 |
| 4.5 本章小结 |
| 第五章 总结与展望 |
| 5.1 论文总结 |
| 5.2 展望与改进 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文目录 |
(2)轻量级IPSec安全网关设计与实现(论文提纲范文)
| 摘要 |
| abstract |
| 第1章 绪论 |
| 1.1 课题背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 国外研究概况 |
| 1.2.2 国内研究概况 |
| 1.3 论文研究内容和组织结构 |
| 第2章 相关理论知识概述和关键技术 |
| 2.1 引言 |
| 2.2 IPSEC安全体系结构 |
| 2.2.1 IPSec两种安全协议 |
| 2.2.2 安全关联及密钥管理协议 |
| 2.2.3 IPSec封装模式 |
| 2.2.4 IPSec流量处理方式 |
| 2.3 IPSEC策略冲突检测技术 |
| 2.3.1 常用防火墙及IPSec策略冲突检测技术 |
| 2.3.2 前沿IPSec策略检测算法优缺点分析 |
| 2.4 IPSEC安全网关链路优化技术 |
| 2.4.1 IPSec安全网关链路优化技术概述 |
| 2.4.2 多路径传输技术 |
| 2.5 本章小结 |
| 第3章 IPSEC安全网关的策略冲突动态检测技术 |
| 3.1 引言 |
| 3.2 IPSEC策略冲突分类 |
| 3.3 基于IPCDR扩展的IPSEC策略冲突动态检测算法 |
| 3.3.1 IPSec策略的规则化描述 |
| 3.3.2 IPSec策略冲突动态检测 |
| 3.4 实验结果与分析 |
| 3.4.1 实验环境 |
| 3.4.2 实验方案 |
| 3.4.3 实验结果分析 |
| 3.5 本章小结 |
| 第4章 基于多路径传输的IPSEC链路优化技术 |
| 4.1 引言 |
| 4.2 面向缓冲空间限制的多路径传输拥塞管理机制 |
| 4.2.1 IPSec网关多路径传输机制 |
| 4.2.2 IPSec网关多路径传输的Incast缓解 |
| 4.3 实验结果与分析 |
| 4.3.1 实验方案 |
| 4.3.2 实验结果分析 |
| 4.4 本章小结 |
| 第5章 轻量级IPSEC安全网关设计与实现 |
| 5.1 方案设计 |
| 5.2 系统实现 |
| 5.2.1 解密处理流程 |
| 5.2.2 加密处理流程 |
| 5.3 系统典型应用 |
| 5.4 本章小结 |
| 结论 |
| 参考文献 |
| 致谢 |
(3)IPSec中间人攻击检测方法与防御策略的研究与应用(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 课题来源与背景 |
| 1.2 研究目的和意义 |
| 1.3 国内外研究现状 |
| 1.3.1 IPSec协议研究现状 |
| 1.3.2 中间人攻击与防御研究现状 |
| 1.3.3 异常流量检测方法研究现状 |
| 1.3.4 国内外研究现状简析 |
| 1.4 本文研究内容及组织结构 |
| 1.4.1 论文研究内容 |
| 1.4.2 论文组织结构 |
| 第2章 IPSec协议交互机理研究 |
| 2.1 密钥交换协议研究 |
| 2.1.1 ISAKMP协议框架研究 |
| 2.1.2 OAKLEY协商模式研究 |
| 2.1.3 SKEME密钥交换研究 |
| 2.1.4 IKE协商过程分析 |
| 2.2 封装安全负载协议研究 |
| 2.2.1 ESP报文格式研究 |
| 2.2.2 ESP数据通信研究 |
| 2.3 IPSec安全原理研究 |
| 2.3.1 IPSec中间人攻击原理分析 |
| 2.3.2 IPSec攻击检测防御原理分析 |
| 2.4 本章小结 |
| 第3章 IPSec中间人攻击方法研究 |
| 3.1 IPSec流量预处理方法 |
| 3.1.1 IKE流量预处理方法研究 |
| 3.1.2 预处理算法设计 |
| 3.2 IPSec报文欺骗方法 |
| 3.2.1 基于中间人机制的密钥计算方法 |
| 3.2.2 IKE协商报文欺骗算法 |
| 3.3 IKE协商身份欺骗方法 |
| 3.3.1 IKE第一阶段身份欺骗方法 |
| 3.3.2 IKE第二阶段身份欺骗方法 |
| 3.4 测试结果与分析 |
| 3.5 本章小结 |
| 第4章 攻击检测方法与防御策略研究 |
| 4.1 IPSec中间人攻击检测原理 |
| 4.2 基于特定报文频率的攻击类型识别方法 |
| 4.2.1 正常流量报文频率特征分析 |
| 4.2.2 攻击类型识别方法研究 |
| 4.3 基于时间间隔特征的攻击判定方法 |
| 4.3.1 攻击流量时间间隔特征分析 |
| 4.3.2 攻击判定方法研究 |
| 4.4 基于检测结果的防御策略研究 |
| 4.5 测试结果与分析 |
| 4.6 本章小结 |
| 第5章 验证平台的设计与实现 |
| 5.1 验证平台整体设计 |
| 5.2 相关技术介绍 |
| 5.2.1 DPDK快速转发技术 |
| 5.2.2 Open SSL库介绍 |
| 5.2.3 WinPcap库介绍 |
| 5.3 中间人攻击系统设计与实现 |
| 5.3.1 功能分析与模块设计 |
| 5.3.2 IKE模块设计 |
| 5.3.3 ESP模块设计 |
| 5.3.4 系统测试与分析 |
| 5.4 检测与防御原型系统设计与实现 |
| 5.4.1 系统设计 |
| 5.4.2 系统实现 |
| 5.4.3 系统测试与分析 |
| 5.5 验证平台测试与分析 |
| 5.5.1 测试方案 |
| 5.5.2 测试结果与分析 |
| 5.6 本章小结 |
| 结论 |
| 参考文献 |
| 攻读硕士学位期间发表的论文及其他成果 |
| 致谢 |
(4)基于IPSec场景的ACL报文过滤方法的研究与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 课题研究的背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 IPSec国内外研究现状 |
| 1.2.2 ACL国内外研究现状 |
| 1.3 课题主要研究内容和结构安排 |
| 1.3.1 课题主要研究内容 |
| 1.3.2 课题结构安排 |
| 1.4 本章小结 |
| 第2章 IPSec及ACL简介 |
| 2.1 IPSec简介 |
| 2.1.1 TCP/IP协议 |
| 2.1.2 IPSec VPN的基本概念 |
| 2.1.3 IPSec故障分析方法 |
| 2.1.4 IPSec协议结构及算法说明 |
| 2.2 ACL访问控制列表简介 |
| 2.2.1 ACL访问控制的基本概念 |
| 2.2.2 ACL访问控制列表分类 |
| 2.2.3 ACL报文过滤概述 |
| 2.3 本章小结 |
| 第3章 系统模块设计要求 |
| 3.1 IPSec VPN模块设计要求 |
| 3.1.1 安全关联和安全策略配置要求 |
| 3.1.2 ESP和AH协议配置要求 |
| 3.1.3 IPSec协议运行模式配置要求 |
| 3.1.4 Internet秘钥交换(IKE)配置要求 |
| 3.2 ACL报文过滤模块设计要求 |
| 3.3 ACL报文过滤系统核心流程分析 |
| 3.4 本章小结 |
| 第4章 报文过滤系统整体实施 |
| 4.1 ACL报文过滤系统的整体结构规划 |
| 4.2 ACL报文过滤系统的结构实施 |
| 4.2.1 系统的硬件配置 |
| 4.2.2 系统的软件配置 |
| 4.2.3 系统网络结构设计 |
| 4.3 ACL报文过滤系统的具体实施 |
| 4.3.1 IPSec VPN子系统的实施 |
| 4.3.2 ACL子系统的实施 |
| 4.4 本章小结 |
| 第5章 系统调试及结果分析 |
| 5.1 系统调试 |
| 5.2 测试结果记录 |
| 5.2.1 IPSec隧道加密测试结果记录 |
| 5.2.2 报文过滤测试结果记录 |
| 5.3 实验结果对比分析 |
| 5.4 本章小结 |
| 第6章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 6.3 本章小结 |
| 参考文献 |
| 致谢 |
(5)基于IPv6的IPSec与防火墙协同策略的研究与设计(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 国内外研究进展 |
| 1.2 研究目的和意义 |
| 1.3 论文的研究内容 |
| 第二章 相关技术 |
| 2.1 防火墙技术 |
| 2.1.1 防火墙简介 |
| 2.1.2 防火墙的分类 |
| 2.1.3 防火墙体系结构 |
| 2.1.4 防火墙技术的优势 |
| 2.2 IPv6协议 |
| 2.2.1 IP协议概述 |
| 2.2.2 IPv6地址 |
| 2.2.3 IPv6数据报的格式 |
| 2.2.4 IPv6跟IPv4的比较 |
| 2.3 IPSec协议 |
| 2.3.1 IPsec概述 |
| 2.3.2 IPSec协议实现机制 |
| 2.3.3 IPSec的操作模式 |
| 2.3.4 IPSec基本协议 |
| 2.3.5 安全联盟 |
| 2.3.6 安全协议 |
| 2.3.7 安全策略 |
| 2.4 本章小结 |
| 第三章 IPSec实施研究 |
| 3.1 IPSec实施结构 |
| 3.2 IPSec协议处理流程 |
| 3.2.1 输出处理 |
| 3.2.2 输入处理 |
| 3.3 本章小结 |
| 第四章 IPSec与防火墙协同工作研究 |
| 4.1 IPSec与防火墙的冲突和协同工作问题 |
| 4.1.1 IPSec与防火墙冲突根源剖析 |
| 4.1.2 IPSec与防火墙协同策略研究 |
| 4.2 问题定义 |
| 4.3 可行性分析 |
| 4.4 功能性需求分析 |
| 4.4.1 总体需求概述 |
| 4.4.2 系统需求的确定 |
| 4.5 本章小结 |
| 第五章 系统设计 |
| 5.1 系统的总体设计 |
| 5.2 系统的技术路线 |
| 5.3 系统工作机制 |
| 5.3.1 SA协商策略 |
| 5.3.2 数据部分验证处理 |
| 5.3.3 数据部分封装处理 |
| 5.3.4 协议头部验证信息处理 |
| 5.3.5 协议头部的封装处理 |
| 5.4 系统的详细设计 |
| 5.4.1 系统模块结构设计 |
| 5.4.2 安全策略中心 |
| 5.5 本章小结 |
| 第六章 系统实现与测试 |
| 6.1 系统实现 |
| 6.1.1 系统测试环境 |
| 6.1.2 IPSec通信的实现 |
| 6.1.3 安全策略库(SPD)的实现 |
| 6.1.4 安全关联库(SAD)的实现 |
| 6.2 新策略的验证与分析 |
| 6.2.1 功能测试 |
| 6.2.2 性能测试 |
| 6.2.3 系统分析 |
| 6.3 本章小结 |
| 结论 |
| 参考文献 |
| 致谢 |
| 附件 |
(6)龙岩电业局企业网络防火墙及虚拟专用网技术的应用研究(论文提纲范文)
| 中文摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 本文研究目的 |
| 1.4 主要研究内容 |
| 1.5 论文组织结构安排 |
| 第二章 防火墙及虚拟专用网技术理论探讨 |
| 2.1 防火墙 |
| 2.1.1 防火墙的概念 |
| 2.1.2 防火墙的分类 |
| 2.2 虚拟专用网(VPN) |
| 2.2.1 虚拟专用网的概念 |
| 2.2.2 虚拟专用网的类型 |
| 2.2.3 虚拟专用网使用的安全协议 |
| 2.3 IPSec |
| 2.3.1 IPSec概述 |
| 2.3.2 IPSec的作用方式和协议簇 |
| 2.3.3 安全关联和因特网密钥交换协议 |
| 2.3.4 IKE(Internet密钥交换协议) |
| 2.4 NAT技术 |
| 2.4.1 NAT简介 |
| 2.4.2 私网地址空间 |
| 2.4.3 NAT分类 |
| 2.5 IPSec与NAT的兼容性问题 |
| 2.5.1 AH和NAT之间的不兼容问题 |
| 2.5.2 ESP和NAT之间的不兼容问题 |
| 2.5.3 IKE中的身份标识符和NAT之间的不兼容问题 |
| 2.5.4 固定的IKE端口和PAT的不兼容问题 |
| 2.6 本章小结 |
| 第三章 龙岩电业局企业防火墙及虚拟专用网改造项目介绍 |
| 3.1 龙岩电业局企业网络改造项目背景 |
| 3.1.1 项目背景 |
| 3.1.2 项目目的 |
| 3.1.3 项目需解决的问题 |
| 3.2 项目功能性需求 |
| 3.3 项目非功能性需求 |
| 3.4 本章小结 |
| 第四章 龙岩电业局基于防火墙和IPSec VPN的设计和实现 |
| 4.1 龙岩电业局企业局域网安全需求 |
| 4.1.1 局域网安全现状分析 |
| 4.1.2 局域网安全建设目标 |
| 4.1.3 企业局域网建设原则 |
| 4.1.4 局域网安全实现模式 |
| 4.2 防火墙与虚拟专用网应用分析 |
| 4.2.1 防火墙功能模型 |
| 4.2.2 虚拟专用网机制 |
| 4.2.3 防火墙及VPN虚拟专用网应用架构 |
| 4.2.4 虚拟专用网络研究面临问题 |
| 4.3 VPN方案协议的选择 |
| 4.4 IPSec穿越NAT的解决方案 |
| 4.4.1 UDP封装的格式 |
| 4.4.2 IPSec处理 |
| 4.5 方案描述 |
| 4.6 方案实施 |
| 4.6.1 龙岩电业局本部IP和端口规划 |
| 4.6.2 县供电公司IP和端口规划 |
| 4.6.3 配置CISCO-ASA设备 |
| 4.6.4 部署CISCO VPN客户端 |
| 4.7 本章小结 |
| 第五章 龙岩电业局防火墙与IPSec VPN的测试 |
| 5.1 建立共享隧道 |
| 5.2 IPSec同步功能测试 |
| 5.3 IKE自动协商 |
| 5.4 VPN备份隧道功能 |
| 5.5 防火墙安全管理功能测试 |
| 5.6 防火墙访问控制功能测试 |
| 5.7 防火墙功能验证测试 |
| 5.8 设备架构的隧道吞吐量性能测试 |
| 5.9 传输时延性能测试 |
| 5.10 丢包率测试 |
| 5.11 本章小结 |
| 总结与展望 |
| 参考文献 |
| 致谢 |
| 个人简历 |
| 在读期间已发表和录用的论文 |
(7)IPv6下的IPSec与防火墙的协同研究(论文提纲范文)
| 致谢 |
| 摘要 |
| Abstract |
| 1 引言 |
| 1.1 研究的背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 本文所做的工作 |
| 1.4 本文的章节安排 |
| 2 IPsec 协议 |
| 2.1 IPSec 概述 |
| 2.2 IPSec 的安全体系结构 |
| 2.2.1 认证报头(AH) |
| 2.2.2 封装安全载荷(ESP) |
| 2.2.3 Internet 密钥交换(IKE) |
| 2.3 IPSec 工作模式 |
| 2.3.1 传输模式 |
| 2.3.2 隧道模式 |
| 2.4 安全关联和安全关联数据库 |
| 2.4.1 安全关联 |
| 2.4.2 安全关联数据库(SAD) |
| 2.5 安全策略和安全策略数据库 |
| 2.6 IPSec 给IPv6 网络带来的安全性影响 |
| 2.7 本章小结 |
| 3 网络安全与防火墙技术 |
| 3.1 网络安全 |
| 3.2 防火墙技术 |
| 3.2.1 防火墙的基本原理 |
| 3.2.2 防火墙的作用 |
| 3.2.3 防火墙的分类 |
| 3.2.4 防火墙的体系结构 |
| 3.2.5 防火墙的优缺点 |
| 3.3 IPv6 对防火墙的影响 |
| 3.4 本章小节 |
| 4 IPSec 与防火墙的协同 |
| 4.1 IPSec 与防火墙冲突的原因 |
| 4.2 IPSec 与防火墙协同的三种策略 |
| 4.2.1 实施简单的安全过滤策略 |
| 4.2.2 屏蔽主机网关防火墙策略 |
| 4.2.3 分层IPSec 策略 |
| 4.3 本章小节 |
| 5 一种新的IPSec 与防火墙协同的方案 |
| 5.1 利用IPv6 的扩展报头实现IPSec 与防火墙的协同 |
| 5.2 数据包内容的过滤策略 |
| 5.3 本策略的优缺点 |
| 5.4 系统的实现 |
| 5.4.1 系统环境 |
| 5.4.2 系统的结构 |
| 5.5 系统的测试与分析 |
| 6 结论与展望 |
| 参考文献 |
| 作者简历 |
| 学位论文数据集 |
(8)基于IPv6的安全协议IPSec的研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景 |
| 1.2 IPv6在国内外发展状况 |
| 1.2.1 国外发展状况 |
| 1.2.2 国内发展状况 |
| 1.3 本文主要研究内容 |
| 1.4 本文结构 |
| 2 IPv6协议基本介绍 |
| 2.1 IPv6报头格式 |
| 2.1.1 IPv6数据包结构 |
| 2.1.2 IPv6基本报头 |
| 2.1.3 IPv6扩展报头 |
| 2.2 IPv6地址 |
| 2.2.1 IPv6地址表示方法 |
| 2.2.2 IPv6地址分类 |
| 2.3 ICMPv6简要分析 |
| 2.3.1 ICMPv6基本报文格式 |
| 2.3.2 ICMPv6报文类型及分析 |
| 2.4 多播监听者发现 |
| 2.5 邻居发现协议 |
| 2.6 地址自动配置 |
| 2.7 IPv6路由技术 |
| 3 IPSec分析 |
| 3.1 IPSec概述 |
| 3.2 IPSec的安全体系结构 |
| 3.3 安全关联 |
| 3.3.1 SA参数 |
| 3.3.2 SA管理 |
| 3.4 验证头AH |
| 3.4.1 AH功能 |
| 3.4.2 AH的头格式 |
| 3.4.3 AH的两种传输模式 |
| 3.4.4 AH的处理过程 |
| 3.5 封装安全有效载荷ESP |
| 3.5.1 ESP功能 |
| 3.5.2 ESP的头格式 |
| 3.5.3 ESP的两种模式 |
| 3.5.4 ESP的处理过程 |
| 3.6 因特网密钥交换协议IKE |
| 3.7 IPSec策略 |
| 3.8 IPSec的实施方案 |
| 4 基于IPSec应用的实验 |
| 4.1 IPSec在Windows上的验证 |
| 4.1.1 实验平台 |
| 4.1.2 方案概述 |
| 4.2 两台主机直连的IPSec实验 |
| 4.2.1 实验方案设计 |
| 4.2.2 IPSec策略配置 |
| 4.2.3 实验结果及分析 |
| 4.3 两网关之间使用隧道模式实现IPSec的实验 |
| 4.3.1 OPNET Modeler仿真软件介绍 |
| 4.3.2 实验方案设计及实验步骤 |
| 4.3.3 实验结果分析 |
| 4.4 IPSec引入导致的问题 |
| 4.4.1 端到端安全保护的缺点 |
| 4.4.2 IPSec穿越NAT的问题 |
| 4.4.3 NAT与IPSec兼容性设计 |
| 4.4.4 IPSec与IPComp |
| 5 IPSec与防火墙协同工作的研究 |
| 5.1 防火墙的基本原理 |
| 5.2 防火墙的实现技术 |
| 5.3 基于IPv6的防火墙改进 |
| 5.4 基于Linux的IPv6防火墙设计 |
| 5.4.1 Linux内核对数据包的过滤处理 |
| 5.4.2 基于Linux的IPv6防火墙设计思路 |
| 5.4.3 基于Linux的IPv6防火墙设计实现 |
| 5.5 IPSec与防火墙协同工作的设计与实现 |
| 5.5.1 IPSec与防火墙兼容性问题的分析 |
| 5.5.2 利用加密数据包对主机进行的攻击分析 |
| 5.5.3 方案设计及解决策略 |
| 5.5.4 防火墙系统的实现 |
| 5.5.5 系统测试与分析 |
| 6 结论及展望 |
| 致谢 |
| 参考文献 |
(9)混合网络下IPSec与现有网络设备协同工作的研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 研究背景 |
| 1.2 国内外研究现状 |
| 1.3 主要工作及论文组织 |
| 2 主要关键技术 |
| 2.1 IPSEC |
| 2.1.1 概述 |
| 2.1.2 IKE 协议 |
| 2.1.3 IP 包的处理 |
| 2.2 NAT 技术 |
| 2.2.1 概述 |
| 2.2.2 工作原理 |
| 2.3 NAT-PT 技术 |
| 2.3.1 概述 |
| 2.3.2 工作原理 |
| 2.3.3 IP 地址被解析的过程 |
| 2.4 防火墙技术 |
| 2.4.1 概述 |
| 2.4.2 防火墙的分类 |
| 2.5 小结 |
| 3 IPSEC 与NAT 协同工作的研究 |
| 3.1 IPSEC 与NAT 共存时所存在的问题 |
| 3.2 现有的解决方案及其优缺点 |
| 3.2.1 RSIP 协议 |
| 3.2.2 UDP 头封装方案 |
| 3.3 改进的UDP 头封装方案 |
| 3.3.1 改进思路 |
| 3.3.2 具体改进 |
| 3.3.3 改进的UDP 头封装方案对IP 包的处理 |
| 3.3.4 改进的UDP 头封装方案与NAT 的兼容性分析 |
| 3.4 小结 |
| 4 IPSEC 与NAT-PT 协同工作的研究 |
| 4.1 IPSEC 与NAT-PT 共存时所存在的问题 |
| 4.2 解决方案及其优缺点 |
| 4.2.1 RSIP_NAT_PT 协议方案 |
| 4.2.2 UDP_NAT_PT 封装方案 |
| 4.3 小结 |
| 5 IPSEC 与防火墙协同工作的研究 |
| 5.1 IPSEC 与防火墙共存时的兼容性分析 |
| 5.2 现有的解决方案及其优缺点 |
| 5.2.1 逐跳扩展报头携带端口信息方案 |
| 5.2.2 IPSec 分层方案 |
| 5.3 UDP_FIREWALL 封装方案 |
| 5.3.1 概述 |
| 5.3.2 AH/ESP 包的格式 |
| 5.3.3 对IKE 协商过程的改进 |
| 5.3.4 通信双方、防火墙对IP 包的处理 |
| 5.4 小结 |
| 6 IPSEC 与现有网络设备协同工作的研究 |
| 6.1 引言 |
| 6.2 网络模型 |
| 6.3 IPSEC、NAT、NAT-PT 和防火墙多方协同工作的可能性 |
| 6.3.1 IPSec、NAT、NAT-PT 三方协同工作的可能性 |
| 6.3.2 IPSec、NAT、防火墙三者协同工作的可能性 |
| 6.3.3 IPSec、NAT-PT、防火墙三者协同工作的可能性 |
| 6.4 小结 |
| 7 改进的UDP 头封装方案的实现 |
| 7.1 引言 |
| 7.2 LINUX 平台下的NETFILTER 框架 |
| 7.2.1 概述 |
| 7.2.2 Netfilter 钩子点分布 |
| 7.2.3 Netfilter 工作原理 |
| 7.3 模块设计 |
| 7.4 功能模块的实现 |
| 7.4.1 IKE 模块 |
| 7.4.2 IPSec 外出处理模块 |
| 7.4.3 IPSec 进入处理模块 |
| 7.4.4 主要数据结构的设计 |
| 7.5 实验及结果分析 |
| 7.5.1 实验平台 |
| 7.5.2 实验结果及分析 |
| 7.6 小结 |
| 8 总结与展望 |
| 致谢 |
| 参考文献 |
| 附录 |
(10)基于IPSec的嵌入式VPN安全网关设计(论文提纲范文)
| 表目录 |
| 图目录 |
| 摘要 |
| ABSTRACT |
| 第一章 引言 |
| 1.1 课题背景 |
| 1.2 国内外网络安全现状分析 |
| 1.3 课题意义 |
| 1.4 本文组织结构和主要研究工作 |
| 第二章 网络安全关键技术 |
| 2.1 网络安全概述 |
| 2.2 网络安全风险评估 |
| 2.2.1 相关概念 |
| 2.2.2 安全风险评估方法 |
| 2.2.3 企业安全风险分析 |
| 2.2.4 安全防御模型 |
| 2.3 网络安全解决方案 |
| 2.3.1 入侵检测技术 |
| 2.3.2 防火墙技术 |
| 2.3.3 VPN技术 |
| 2.3.4 IPSec协议 |
| 2.4 小结 |
| 第三章 安全网关总体方案设计 |
| 3.1 企业网络安全概述 |
| 3.1.1 企业网络安全构建原则 |
| 3.1.2 企业网络安全需求分析 |
| 3.2 VPN安全网关目标规划 |
| 3.3 VPN安全网关功能设计 |
| 3.4 VPN安全网关的实现技术 |
| 3.5 VPN安全网关总体结构设计 |
| 3.6 小结 |
| 第四章 VPN安全网关的实现 |
| 4.1 安全网关系统的硬件实现 |
| 4.1.1 安全网关的硬件结构设计 |
| 4.1.2 安全网关的硬件平台介绍 |
| 4.2 安全网关系统的软件实现 |
| 4.2.1 系统软件结构 |
| 4.2.2 VPN算法及协议选择 |
| 4.2.3 IPSec在VPN安全网关的实现 |
| 4.2.4 IPSec与NAT的冲突解决 |
| 4.3 小结 |
| 第五章 Linux在IXDP425平台上的移植 |
| 5.1 相关知识 |
| 5.1.1 嵌入式系统概述 |
| 5.1.2 uclinux操作系统 |
| 5.1.3 Linux内核结构分析 |
| 5.2 uclinux移植流程 |
| 5.3 移植过程 |
| 5.3.1 交叉编译环境的建立 |
| 5.3.2 引导程序Redboot的编译 |
| 5.3.3 JFFS2文件系统的创建 |
| 5.4 uclinux-2.4.x的加载 |
| 5.4.1 内核的剪裁、配置和编译 |
| 5.4.2 根文件系统的配置 |
| 5.4.3 内核的加载运行 |
| 5.5 小结 |
| 结束语 |
| 参考文献 |
| 作者简历 攻读硕士学位期间完成的主要工作 |
| 致谢 |
四、IPsec加密数据流与防火墙过滤模式兼容问题(论文参考文献)
- [1]基于IPv6的高性能安全网关研究与实现[D]. 陈星星. 北京邮电大学, 2020(05)
- [2]轻量级IPSec安全网关设计与实现[D]. 徐衍鹏. 哈尔滨工程大学, 2019(03)
- [3]IPSec中间人攻击检测方法与防御策略的研究与应用[D]. 王冠群. 哈尔滨工业大学, 2018(02)
- [4]基于IPSec场景的ACL报文过滤方法的研究与实现[D]. 晏苏红. 南昌航空大学, 2016(01)
- [5]基于IPv6的IPSec与防火墙协同策略的研究与设计[D]. PHAN BINH GIANG(潘平江). 华南理工大学, 2015(12)
- [6]龙岩电业局企业网络防火墙及虚拟专用网技术的应用研究[D]. 陈曦. 福州大学, 2015(07)
- [7]IPv6下的IPSec与防火墙的协同研究[D]. 任政伟. 河南理工大学, 2010(05)
- [8]基于IPv6的安全协议IPSec的研究[D]. 周玉洁. 南京理工大学, 2008(01)
- [9]混合网络下IPSec与现有网络设备协同工作的研究[D]. 李记. 重庆大学, 2008(06)
- [10]基于IPSec的嵌入式VPN安全网关设计[D]. 高燕. 解放军信息工程大学, 2007(07)