IPv6規(guī)模部署下的網(wǎng)絡(luò)安全防護(hù):IPv6安全技術(shù)七問七答
IPv6因地址空間巨大,在應(yīng)對部分安全攻擊方面具有天然優(yōu)勢,在可溯源性、反黑客嗅探能力、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議以及端到端的IPSec安全傳輸能力等方面提升了網(wǎng)絡(luò)安全性。
本文引用地址:http://2s4d.com/article/201802/375336.htm針對《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》,華為安全給出了IPv6規(guī)模部署下網(wǎng)絡(luò)安全防護(hù)的詳盡解讀,承接上期IPv6行業(yè)影響,本期聚焦IPv6安全技術(shù)。
可溯源性
IPv6巨大的地址空間為每個網(wǎng)絡(luò)設(shè)備分配了一個獨一無二的網(wǎng)絡(luò)地址,不需要像在IPv4網(wǎng)絡(luò)中通過NAT解決地址不足問題,從而有利于事后追查回溯,提高安全的保障性。
反黑客嗅探能力
由于龐大的IPv6地址,使得在IPv4網(wǎng)絡(luò)中常常被黑客使用的嗅探掃描在IPv6網(wǎng)絡(luò)中變得更加困難。
NDP & SEND
在IPv6中,ARP的功能被鄰居發(fā)現(xiàn)協(xié)議(NDP)所代替。鄰居發(fā)現(xiàn)協(xié)議通過發(fā)現(xiàn)鏈路上的其他節(jié)點,判斷其他節(jié)點的地址,尋找可用路由。對比ARP, NDP僅在鏈路層實現(xiàn),更加獨立于傳輸介質(zhì)。下一代互聯(lián)網(wǎng)的安全鄰居發(fā)現(xiàn)(SEND)協(xié)議通過獨立于IPSec的另一種加密方式,保證了傳輸?shù)陌踩浴?/p>
端到端IPSec安全傳輸能力
IPSec為IPv6網(wǎng)絡(luò)中的每個節(jié)點提供了數(shù)據(jù)源認(rèn)證、完整性和保密性的能力,實現(xiàn)端到端的安全加密。
Q1IPv6新增的安全特性與IPv4有什么區(qū)別?
IPv6網(wǎng)絡(luò)的安全,由于僅是IP包頭、尋址方式發(fā)生了變化,內(nèi)置了端到端的安全機(jī)制,所以相對IPv4,在安全方面IPv6對當(dāng)前的各種安全風(fēng)險的防范并沒有太大的提高。
Q2基于安全性考慮,IPv4網(wǎng)絡(luò)使用NAT技術(shù)來隱藏內(nèi)網(wǎng)IP地址,IPv6網(wǎng)絡(luò)是否也需要類似技術(shù)來提升安全性?
IPv6的NPT(Network Prefix Translation)(RFC6296)協(xié)議可以實現(xiàn)與IPv4 NAT類似的功能,允許IPv6地址的1:1映射,達(dá)到隱藏內(nèi)部IPv6地址的效果。
Q3對于應(yīng)用層攻擊,IPv6網(wǎng)絡(luò)的防御手段和方式都有哪些影響?
應(yīng)用層防御功能一般包括協(xié)議識別、IPS、反病毒、URL過濾等,主要檢測報文的應(yīng)用層負(fù)載,幾乎不受網(wǎng)絡(luò)層協(xié)議IPv4/IPv6影響,因此,大部分傳統(tǒng)IPv4協(xié)議下的應(yīng)用層安全能力在IPv6網(wǎng)絡(luò)中不受影響。
但有少部分IPv4網(wǎng)絡(luò)協(xié)議在IPv6網(wǎng)絡(luò)下自身需要發(fā)生了變化,比如DNS協(xié)議升級到DNSv6,那么對應(yīng)的應(yīng)用層安全檢測需要根據(jù)協(xié)議變化進(jìn)行調(diào)整。
Q4IPv6在擴(kuò)展頭中增加了IPSec的端到端加密能力,如果應(yīng)用開啟了此項功能,那么網(wǎng)絡(luò)安全設(shè)備該如何檢測和防御加密流量?
一般情況下,網(wǎng)絡(luò)安全設(shè)備無法解密IPSec加密流量,僅能基于IP地址來控制。但從目前的情況來看,這種“內(nèi)嵌”的IPSec需要使用密鑰分發(fā)技術(shù),總體上并不成熟,管理成本高,另外,由于網(wǎng)絡(luò)安全設(shè)備正常是無法解密IPSec流量,防火墻等網(wǎng)絡(luò)安全設(shè)備就無法在網(wǎng)絡(luò)&應(yīng)用層來檢測IPSec流量,從某種意義上,系統(tǒng)的安全性得不到完整的保證。對于一般企業(yè)應(yīng)用,基于管理成本和安全性考慮,建議仍使用防火墻實現(xiàn)IPSec VPN加解密,并在網(wǎng)關(guān)位置進(jìn)行IPS、狀態(tài)防火墻等安全檢查,待技術(shù)成熟后再部署端到端加密。
Q5SSL代理功能在IPv6協(xié)議下是否受到影響?
SSL代理不依賴于網(wǎng)絡(luò)層的具體協(xié)議,仍可以對IPv6 SSL加密流量實現(xiàn)解密。
Q6對于IPv6網(wǎng)絡(luò),如何通過防火墻來實現(xiàn)安全策略管理,與IPv4的安全策略有何不同?
IPv6與IPv4的安全策略管控是一樣的,仍需要基于ACL的五元組來逐條配置,僅是IPv6地址變長,使得策略配置更加復(fù)雜。
Q7在現(xiàn)有安全設(shè)備上開啟IPv4/IPv6雙棧功能后,在功能和性能上會對IPv4業(yè)務(wù)有何影響?
開啟IPv4/IPv6雙棧一般不會對安全設(shè)備的功能產(chǎn)生影響,主要影響設(shè)備的性能,因為IPv6協(xié)議棧會擠占IPv4業(yè)務(wù)的CPU和內(nèi)存等資源,導(dǎo)致現(xiàn)有的IPv4業(yè)務(wù)在會話表容量、新建速率、吞吐率上會出現(xiàn)不同程度的下降。建議在升級/開啟IPv4/IPv6雙棧前評估現(xiàn)有安全設(shè)備的處理能力,必要時可以替換現(xiàn)有安全設(shè)備,避免影響現(xiàn)有IPv4業(yè)務(wù)。
評論