IPv6因地址空間巨大,在應(yīng)對部分安全攻擊方面具有天然優(yōu)勢,在可溯源性、反黑客嗅探能力、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議以及端到端的IPSec安全傳輸能力等方面提升了網(wǎng)絡(luò)安全性。
10年積累的成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、成都外貿(mào)網(wǎng)站建設(shè)經(jīng)驗(yàn),可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你,你也不認(rèn)識我。但先網(wǎng)站制作后付款的網(wǎng)站建設(shè)流程,更有阿巴嘎免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。針對《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》,本篇文章給出了IPv6規(guī)模部署下網(wǎng)絡(luò)安全防護(hù)的詳盡解讀,承接上期IPv6行業(yè)影響,本期聚焦IPv6安全技術(shù)。
可溯源性
IPv6巨大的地址空間為每個(gè)網(wǎng)絡(luò)設(shè)備分配了一個(gè)獨(dú)一無二的網(wǎng)絡(luò)地址,不需要像在IPv4網(wǎng)絡(luò)中通過NAT解決地址不足問題,從而有利于事后追查回溯,提高安全的保障性。
反黑客嗅探能力
由于龐大的IPv6地址,使得在IPv4網(wǎng)絡(luò)中常常被黑客使用的嗅探掃描在IPv6網(wǎng)絡(luò)中變得更加困難。
NDP & SEND
在IPv6中,ARP的功能被鄰居發(fā)現(xiàn)協(xié)議(NDP)所代替。鄰居發(fā)現(xiàn)協(xié)議通過發(fā)現(xiàn)鏈路上的其他節(jié)點(diǎn),判斷其他節(jié)點(diǎn)的地址,尋找可用路由。對比ARP, NDP僅在鏈路層實(shí)現(xiàn),更加獨(dú)立于傳輸介質(zhì)。下一代互聯(lián)網(wǎng)的安全鄰居發(fā)現(xiàn)(SEND)協(xié)議通過獨(dú)立于IPSec的另一種加密方式,保證了傳輸?shù)陌踩浴?/p>
端到端IPSec安全傳輸能力
IPSec為IPv6網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)提供了數(shù)據(jù)源認(rèn)證、完整性和保密性的能力,實(shí)現(xiàn)端到端的安全加密。
Q1IPv6新增的安全特性與IPv4有什么區(qū)別?
IPv6網(wǎng)絡(luò)的安全,由于僅是IP包頭、尋址方式發(fā)生了變化,內(nèi)置了端到端的安全機(jī)制,所以相對IPv4,在安全方面IPv6對當(dāng)前的各種安全風(fēng)險(xiǎn)的防范并沒有太大的提高。
Q2基于安全性考慮,IPv4網(wǎng)絡(luò)使用NAT技術(shù)來隱藏內(nèi)網(wǎng)IP地址,IPv6網(wǎng)絡(luò)是否也需要類似技術(shù)來提升安全性?
IPv6的NPT(Network Prefix Translation)(RFC6296)協(xié)議可以實(shí)現(xiàn)與IPv4 NAT類似的功能,允許IPv6地址的1:1映射,達(dá)到隱藏內(nèi)部IPv6地址的效果。
Q3對于應(yīng)用層攻擊,IPv6網(wǎng)絡(luò)的防御手段和方式都有哪些影響?
應(yīng)用層防御功能一般包括協(xié)議識別、IPS、反病毒、URL過濾等,主要檢測報(bào)文的應(yīng)用層負(fù)載,幾乎不受網(wǎng)絡(luò)層協(xié)議IPv4/IPv6影響,因此,大部分傳統(tǒng)IPv4協(xié)議下的應(yīng)用層安全能力在IPv6網(wǎng)絡(luò)中不受影響。
但有少部分IPv4網(wǎng)絡(luò)協(xié)議在IPv6網(wǎng)絡(luò)下自身需要發(fā)生了變化,比如DNS協(xié)議升級到DNSv6,那么對應(yīng)的應(yīng)用層安全檢測需要根據(jù)協(xié)議變化進(jìn)行調(diào)整。
Q4IPv6在擴(kuò)展頭中增加了IPSec的端到端加密能力,如果應(yīng)用開啟了此項(xiàng)功能,那么網(wǎng)絡(luò)安全設(shè)備該如何檢測和防御加密流量?
一般情況下,網(wǎng)絡(luò)安全設(shè)備無法解密IPSec加密流量,僅能基于IP地址來控制。但從目前的情況來看,這種“內(nèi)嵌”的IPSec需要使用密鑰分發(fā)技術(shù),總體上并不成熟,管理成本高,另外,由于網(wǎng)絡(luò)安全設(shè)備正常是無法解密IPSec流量,防火墻等網(wǎng)絡(luò)安全設(shè)備就無法在網(wǎng)絡(luò)&應(yīng)用層來檢測IPSec流量,從某種意義上,系統(tǒng)的安全性得不到完整的保證。對于一般企業(yè)應(yīng)用,基于管理成本和安全性考慮,建議仍使用防火墻實(shí)現(xiàn)IPSec VPN加解密,并在網(wǎng)關(guān)位置進(jìn)行IPS、狀態(tài)防火墻等安全檢查,待技術(shù)成熟后再部署端到端加密。
Q5SSL代理功能在IPv6協(xié)議下是否受到影響?
SSL代理不依賴于網(wǎng)絡(luò)層的具體協(xié)議,仍可以對IPv6 SSL加密流量實(shí)現(xiàn)解密。
Q6對于IPv6網(wǎng)絡(luò),如何通過防火墻來實(shí)現(xiàn)安全策略管理,與IPv4的安全策略有何不同?
IPv6與IPv4的安全策略管控是一樣的,仍需要基于ACL的五元組來逐條配置,僅是IPv6地址變長,使得策略配置更加復(fù)雜。
Q7在現(xiàn)有安全設(shè)備上開啟IPv4/IPv6雙棧功能后,在功能和性能上會對IPv4業(yè)務(wù)有何影響?
開啟IPv4/IPv6雙棧一般不會對安全設(shè)備的功能產(chǎn)生影響,主要影響設(shè)備的性能,因?yàn)镮Pv6協(xié)議棧會擠占IPv4業(yè)務(wù)的CPU和內(nèi)存等資源,導(dǎo)致現(xiàn)有的IPv4業(yè)務(wù)在會話表容量、新建速率、吞吐率上會出現(xiàn)不同程度的下降。建議在升級/開啟IPv4/IPv6雙棧前評估現(xiàn)有安全設(shè)備的處理能力,必要時(shí)可以替換現(xiàn)有安全設(shè)備,避免影響現(xiàn)有IPv4業(yè)務(wù)。
分享文章:IPv6安全技術(shù)七大問題:IPv6規(guī)模部署下的網(wǎng)絡(luò)安全防護(hù)
當(dāng)前路徑:http://jinyejixie.com/article30/sscso.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供企業(yè)網(wǎng)站制作、品牌網(wǎng)站建設(shè)、虛擬主機(jī)、自適應(yīng)網(wǎng)站、做網(wǎng)站、軟件開發(fā)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)