摘要:
4月16日,工信部發布《關於開展2019年IPv6網絡就緒專項行動的通知》,指出到2019年末,武漢、西安、瀋陽、南京、重慶、杭州、貴陽、福州8個互聯網骨幹直聯點完成IPv6升級改造,支持互聯網網間IPv6流量交換。
IPv
什麼是IPv6?
事實上,IPV6並不是一個新詞彙,其通俗稱第六代互聯網,最早提出於1996年,從創業板設立起,這一指數就一直伴隨著科技股出現。
目前國內市場的IP地址為IPv4,外網地址地址是32位數字,總數有43億個左右。IPv6最本質的差別就是地址空間的擴大,由IPv4下的32位地址空間變為128位的地址空間,這正是IPv6被選作新網絡的承載協議並逐漸商用部署的根本驅動力。此外,IPv6標配加密選項,更加安全,用戶和服務器之間的通信很難被破解,同時能大大降低網絡延遲。
IPv6的安全性
IPv6協議的安全性
缺乏安全性是互聯網天生的弱點,這與是否採用IPv6關係不大。事實上,IPv6並沒有引入新的安全問題,反而由於IPSec的引入以及發送設備採用永久性IP地址而解決了網絡層溯源難題,給網絡安全提供了根本的解決途徑,有望實現端到端安全性。
IPv6的地址分配採用逐級、層次化的結構,這就使得追蹤定位、攻擊溯源有了很大的改善;另外, IPv6提出了新的地址生成方式——密碼生成地址。密碼生成地址與公私鑰對綁定,保證地址不能被他人偽造。 這如同汽車的車牌印上了指紋,別人不可能偽造這樣的車牌,因為指紋造不了假。
IPSec(IPSecurity)協議族中的AH(Authentication Header,報文認證頭)和ESP(Encapsulation Security Payload,報文封裝安全載荷)就內嵌到協議棧中,作為IPv6的擴展頭出現在IP報文中,提供完整性、保密性和源認證保護,這無疑是從協議上較大地提升安全性。
在IPv6網絡的安全體系下,用戶、 報文和攻擊可以一一對應,用戶對自己的任何行為都必須負責,具有不可否認性所以IPv6建立起嚴密的圍繞攻擊者的管制,實現安全監控。
DDoS網絡攻擊
IPv6能減緩DDoS攻擊
在IPv6時代,每個地址為128位,協議中規定的默認網絡前綴為64位。換句話說,就是一個網段內有264個地址,假設攻擊者以10M/s的速度來掃描,也得需要大約5萬年的時間才能遍歷。IPv6大大增大了掃描難度,由此增加了網絡攻擊的成本和代價。此時,黑客如果想侵佔一定數量的主機發起DDoS(Distributed Denial of Service,分佈式拒絕服務)攻擊,那麼其將會付出更多的代價,這在一定程度上減少了DDoS攻擊發生的可能性。
IPv6下的密碼生成地址是新的地址生成方式,將公私鑰對中的公鑰與IPv6地址進行綁定。使用此類地址,能夠保證報文的源地址不被他人偽造。在這樣的安全機制保護下,在網絡中傳輸的每一個報文均對應於一臺主機,如果發生任何的攻擊或 者違法犯罪行為,都能夠根據攻擊報文追蹤到發出此報文的主機,進而追查到攻擊者。這種可靠的追蹤溯源機制,使得黑客和攻擊者容易被發現,這樣就減少了網絡攻擊發生的可能。
IPv6的安全機制和策略
面對IPv6地址結構以及相關協議的改變,防火牆或者網絡邊界設備需要設定更加精細的過濾規則。防火牆需要拒絕對內網知名多播地址訪問的報 文,關閉不必要的服務端口,過濾內網使用的地址。 在對ICMP報文的處理上,由於IPv6對ICMPv6的依賴程度遠遠超過了IPv4,ICMPv6除了完成ping及錯誤消息外,還新增了地址分配、地址解析、多播管理和移動IPv6下 的使用等功能,因此ICMPv6報文的過濾策略需要根據實際情況小心設置,避免影響正常的服務和應用。
防護策略
結語:
IPv6/IPv4共存時期,過渡技術的安全部署尤為重要。各種網絡安全設備都要具備對IPv6和IPv4威脅的防護能力。我們在使 用隧道技術時,要儘可能採用靜態配置隧道,以降低動態隧 道的偽造和非法接入威脅。
相關推薦
