73、网络隧道安全与移动自组网端到端数据包延迟优化

网络隧道安全与移动自组网端到端数据包延迟优化

网络隧道安全问题与解决方案

隧道安全问题概述

网络隧道技术存在安全隐患，因为它将第 3 层的数据包嵌入到另一个第 3 层数据包的有效负载中，违背了协议分层概念。这使得现有的防火墙系统大多只能对隧道数据包的外部头部进行过滤，而无法对内部头部进行有效过滤，随着互联网隧道使用的增加，这对网络安全构成了巨大威胁。

目前，虽然一些研究机构对 IPv6 相关的安全问题进行了研究，部分网络制造商和安全供应商也推出了处理 IPv6 数据包的防火墙产品，Netfilter 等防火墙框架也具备对 IPv6 基本头部和扩展头部的过滤能力，但针对 IPv4/IPv6 过渡隧道的安全问题研究相对较少。IETF 的 v6ops 工作组对这些安全问题进行了分类，并提出了相应的对策。同时，也有研究提出了针对各种 IPv4/IPv6 过渡的数据包过滤机制，但存在无法将防火墙中已设置的 IPv6 过滤规则应用到内部 IPv6 数据包的局限性。此外，IP 组播隧道与 IPv4/IPv6 隧道类似，也会出现相同的安全问题，IETF 的组播安全工作组主要研究 IP 组播组成员的认证方法，并建议在建立组播隧道时使用 IPsec。

Netfilter 数据包过滤基础

Netfilter 是 Linux 内核的一种框架，它支持数据包过滤、网络地址转换（NAT）和数据包修改功能，通过 iptables 作为用户界面工具。Netfilter 在内部系统的特定点对传输的数据包进行挂钩，提供了过滤和地址转换的开发环境。其挂钩点包括 PRE_ROUTING、FORWARD、POST_ROUTING、LOCAL_IN 和 LOCAL_OUT，其中