|
|
|
|
|
|
|
|
br>
IP层的处理较复杂,且可做许多安全方面的工作。若在极端的情况下,我们可以修改IP报头,增加安全机制(如认证)。考虑到系统的性能及兼容性,我们没有选择这种方法,而是利用了包过滤技术和ICMP、ARP提供的功能,提供安全机制。目前,大部分路由器只能处理常规的IPV4,对于新出台的IPV6,路由器还未能支持。
ICMP
ICMP是为了允许路由器向主机报告投递出错的原因和一些控制而设计的。但事实上,任何一台主机都可以向任何其他机器发送ICMP报文,如Ping。ICMP在本系统中的作用主要是:隐藏子网内主机信息和施加一些控制。
ICMP虽然有一定的作用,如差错报告,但也有很大的安全隐患,即隐藏子网内主机信息。
从安全的角度来说,子网主机的信息不应过多地暴露。在通常的路由器中,要么内部主机“Ping”到外部主机的同时,外部主机也能“Ping”到内部主机;要么二者都禁止。若是前者,会暴露主机信息,不利于安全;若是后者,又给用户带来不便。我们利用ICMP协议可以做到能“Ping”到外面,而外面“Ping”不到内部,实现隐藏子网的同时又为用户增加了透明度。
我们主要是采用了三种策略:
1.对内部主机的ICMP包,虽然转发,但改写ICMP页码:[1] [2] [3] [4] [5] [6] [7] [8] 第6页、共8页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
