新聞中心

EEPW首頁(yè) > 網(wǎng)絡(luò)與存儲(chǔ) > 業(yè)界動(dòng)態(tài) > IPv6規(guī)模部署下安全技術(shù)七問(wèn)七答

IPv6規(guī)模部署下安全技術(shù)七問(wèn)七答

作者: 時(shí)間:2018-02-01 來(lái)源:至頂網(wǎng) 收藏

  因地址空間巨大,在應(yīng)對(duì)部分安全攻擊方面具有天然優(yōu)勢(shì),在可溯源性、反黑客嗅探能力、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議以及端到端的IPSec安全傳輸能力等方面提升了網(wǎng)絡(luò)安全性。

本文引用地址:http://butianyuan.cn/article/201802/375202.htm

  

blob.png

 

  針對(duì)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版()規(guī)模部署行動(dòng)計(jì)劃》,華為安全給出了規(guī)模部署下網(wǎng)絡(luò)安全防護(hù)的詳盡解讀,承接上期IPv6行業(yè)影響,本期聚焦IPv6安全技術(shù)。

  可溯源性

  IPv6巨大的地址空間為每個(gè)網(wǎng)絡(luò)設(shè)備分配了一個(gè)獨(dú)一無(wú)二的網(wǎng)絡(luò)地址,不需要像在IPv4網(wǎng)絡(luò)中通過(guò)NAT解決地址不足問(wèn)題,從而有利于事后追查回溯,提高安全的保障性。

  反黑客嗅探能力

  由于龐大的IPv6地址,使得在IPv4網(wǎng)絡(luò)中常常被黑客使用的嗅探掃描在IPv6網(wǎng)絡(luò)中變得更加困難。

  NDP & SEND

  在IPv6中,ARP的功能被鄰居發(fā)現(xiàn)協(xié)議(NDP)所代替。鄰居發(fā)現(xiàn)協(xié)議通過(guò)發(fā)現(xiàn)鏈路上的其他節(jié)點(diǎn),判斷其他節(jié)點(diǎn)的地址,尋找可用路由。對(duì)比ARP, NDP僅在鏈路層實(shí)現(xiàn),更加獨(dú)立于傳輸介質(zhì)。下一代互聯(lián)網(wǎng)的安全鄰居發(fā)現(xiàn)(SEND)協(xié)議通過(guò)獨(dú)立于IPSec的另一種加密方式,保證了傳輸?shù)陌踩浴?/p>

  端到端IPSec安全傳輸能力

  IPSec為IPv6網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)提供了數(shù)據(jù)源認(rèn)證、完整性和保密性的能力,實(shí)現(xiàn)端到端的安全加密。

  Q1IPv6新增的安全特性與IPv4有什么區(qū)別?

  IPv6網(wǎng)絡(luò)的安全,由于僅是IP包頭、尋址方式發(fā)生了變化,內(nèi)置了端到端的安全機(jī)制,所以相對(duì)IPv4,在安全方面IPv6對(duì)當(dāng)前的各種安全風(fēng)險(xiǎn)的防范并沒(méi)有太大的提高。

  Q2基于安全性考慮,IPv4網(wǎng)絡(luò)使用NAT技術(shù)來(lái)隱藏內(nèi)網(wǎng)IP地址,IPv6網(wǎng)絡(luò)是否也需要類(lèi)似技術(shù)來(lái)提升安全性?

  IPv6的NPT(Network Prefix Translation)(RFC6296)協(xié)議可以實(shí)現(xiàn)與IPv4 NAT類(lèi)似的功能,允許IPv6地址的1:1映射,達(dá)到隱藏內(nèi)部IPv6地址的效果。

  Q3對(duì)于應(yīng)用層攻擊,IPv6網(wǎng)絡(luò)的防御手段和方式都有哪些影響?

  應(yīng)用層防御功能一般包括協(xié)議識(shí)別、IPS、反病毒、URL過(guò)濾等,主要檢測(cè)報(bào)文的應(yīng)用層負(fù)載,幾乎不受網(wǎng)絡(luò)層協(xié)議IPv4/IPv6影響,因此,大部分傳統(tǒng)IPv4協(xié)議下的應(yīng)用層安全能力在IPv6網(wǎng)絡(luò)中不受影響。

  但有少部分IPv4網(wǎng)絡(luò)協(xié)議在IPv6網(wǎng)絡(luò)下自身需要發(fā)生了變化,比如DNS協(xié)議升級(jí)到DNSv6,那么對(duì)應(yīng)的應(yīng)用層安全檢測(cè)需要根據(jù)協(xié)議變化進(jìn)行調(diào)整。

  Q4IPv6在擴(kuò)展頭中增加了IPSec的端到端加密能力,如果應(yīng)用開(kāi)啟了此項(xiàng)功能,那么網(wǎng)絡(luò)安全設(shè)備該如何檢測(cè)和防御加密流量?

  一般情況下,網(wǎng)絡(luò)安全設(shè)備無(wú)法解密IPSec加密流量,僅能基于IP地址來(lái)控制。但從目前的情況來(lái)看,這種“內(nèi)嵌”的IPSec需要使用密鑰分發(fā)技術(shù),總體上并不成熟,管理成本高,另外,由于網(wǎng)絡(luò)安全設(shè)備正常是無(wú)法解密IPSec流量,防火墻等網(wǎng)絡(luò)安全設(shè)備就無(wú)法在網(wǎng)絡(luò)&應(yīng)用層來(lái)檢測(cè)IPSec流量,從某種意義上,系統(tǒng)的安全性得不到完整的保證。對(duì)于一般企業(yè)應(yīng)用,基于管理成本和安全性考慮,建議仍使用防火墻實(shí)現(xiàn)IPSec VPN加解密,并在網(wǎng)關(guān)位置進(jìn)行IPS、狀態(tài)防火墻等安全檢查,待技術(shù)成熟后再部署端到端加密。

  Q5SSL代理功能在IPv6協(xié)議下是否受到影響?

  SSL代理不依賴(lài)于網(wǎng)絡(luò)層的具體協(xié)議,仍可以對(duì)IPv6 SSL加密流量實(shí)現(xiàn)解密。

  Q6對(duì)于IPv6網(wǎng)絡(luò),如何通過(guò)防火墻來(lái)實(shí)現(xiàn)安全策略管理,與IPv4的安全策略有何不同?

  IPv6與IPv4的安全策略管控是一樣的,仍需要基于ACL的五元組來(lái)逐條配置,僅是IPv6地址變長(zhǎng),使得策略配置更加復(fù)雜。

  Q7在現(xiàn)有安全設(shè)備上開(kāi)啟IPv4/IPv6雙棧功能后,在功能和性能上會(huì)對(duì)IPv4業(yè)務(wù)有何影響?

  開(kāi)啟IPv4/IPv6雙棧一般不會(huì)對(duì)安全設(shè)備的功能產(chǎn)生影響,主要影響設(shè)備的性能,因?yàn)镮Pv6協(xié)議棧會(huì)擠占IPv4業(yè)務(wù)的CPU和內(nèi)存等資源,導(dǎo)致現(xiàn)有的IPv4業(yè)務(wù)在會(huì)話表容量、新建速率、吞吐率上會(huì)出現(xiàn)不同程度的下降。建議在升級(jí)/開(kāi)啟IPv4/IPv6雙棧前評(píng)估現(xiàn)有安全設(shè)備的處理能力,必要時(shí)可以替換現(xiàn)有安全設(shè)備,避免影響現(xiàn)有IPv4業(yè)務(wù)。



關(guān)鍵詞: IPv6

評(píng)論


相關(guān)推薦

技術(shù)專(zhuān)區(qū)

關(guān)閉