日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

近日，中共中央辦公廳、國務院辦公廳印發(fā)了《推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》，加快推進IPv6規(guī)模部署，構(gòu)建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網(wǎng)。

公司主營業(yè)務：網(wǎng)站設計制作、成都網(wǎng)站建設、移動網(wǎng)站開發(fā)等業(yè)務。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出磐石免費做網(wǎng)站回饋大家。

一、引言

隨著計劃實施推行以及移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的大力發(fā)展，我國整個網(wǎng)絡環(huán)境將發(fā)生翻天覆地的變化，全產(chǎn)業(yè)鏈已蓄勢待發(fā)，目前IPv6根服務器架設中國開始部署，IPv6城域網(wǎng)、政府網(wǎng)站IPv6雙棧化改造、IPv6城市公共無線網(wǎng)絡等均已開始試點和部署，互聯(lián)網(wǎng)BAT部分內(nèi)容已支持IPv6訪問，流量增長迅速，新的網(wǎng)絡環(huán)境以及新興領域均將面臨著新的安全挑戰(zhàn)。

按照部署計劃，到2018年末，IPv6活躍用戶數(shù)達到2億，在互聯(lián)網(wǎng)用戶中的占比不低于20%，到2020年末，IPv6活躍用戶數(shù)超過5億，在互聯(lián)網(wǎng)用戶中的占比超過50%，新增網(wǎng)絡地址不再使用私有IPv4地址，到2025年末，我國IPv6網(wǎng)絡規(guī)模、用戶規(guī)模、流量規(guī)模位居世界第一位，網(wǎng)絡、應用、終端全面支持IPv6，全面完成向下一代互聯(lián)網(wǎng)的平滑演進升級，形成全球領先的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)體系。

針對IPv6安全，計劃中重點要求升級安全系統(tǒng)，強化IPv6地址管理，增強IPv6安全防護，加強IPv6環(huán)境工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等領域的網(wǎng)絡安全技術(shù)、管理及機制研究，構(gòu)筑新興領域安全保障能力。

本文從IPv6安全威脅結(jié)合互聯(lián)網(wǎng)網(wǎng)絡安全運營視角進行了重點分析，同時探討了互聯(lián)網(wǎng)IPv6網(wǎng)絡安全保障體系面臨安全風險及加固建議。

二、IPv6協(xié)議介紹

IPv6(Internet Protocol version 6，互聯(lián)網(wǎng)通信協(xié)議第6版)是數(shù)據(jù)包交換互聯(lián)網(wǎng)絡的網(wǎng)絡層協(xié)議，主要用于尋址和路由，是IETF(互聯(lián)網(wǎng)工程任務小組Internet Engineering Task Force，簡稱IETF)設計用來替代IPv4協(xié)議的，在早期協(xié)議發(fā)展階段，IPv6也叫做IPng。

IETF自1990年開始，開始規(guī)劃IPv4的下一代協(xié)議，除要解決IP地址短缺問題外，還要進行更多擴展。1994年,IETF會議中正式提議IPv6發(fā)展計劃，并于1998年8月成為IETF的草案標準，最終IPv6在1998年底被IETF通過公布互聯(lián)網(wǎng)標準規(guī)范(RFC 2460)的方式定義正式發(fā)布。

目前隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的大力發(fā)展，計算機網(wǎng)絡已經(jīng)與人們的生活密切相關(guān)，可能身邊的每一樣電子設備都需要連入網(wǎng)絡，IP地址需求量劇增，同時IPv4地址越來越緊缺，IPv6的發(fā)展越來越迫切。

1. IPv6發(fā)展的主要原因如下：

(1) 128位的地址空間：IPv6由128比特位構(gòu)成，單從數(shù)量級上來說，IPv6所擁有的地址容量是IPv4的約8×1028倍，達到2128個巨大的地址空間，不但解決了網(wǎng)絡地址資源數(shù)量的問題，同時也為物聯(lián)網(wǎng)的發(fā)展提供了基礎。

(2) 層次化的路由結(jié)構(gòu)，而這是當前IPv4無法滿足的：

• 分層匯總(Public、Site、Interface)
• 更為簡單的ACL
• 更少的路由條目

(3) 實現(xiàn)真正的點到點通信，而不是NAT

(4) 對安全傳輸?shù)膬?nèi)在支持，提供更為安全的數(shù)據(jù)傳輸

(5) 對數(shù)據(jù)報文進行簡化，提供更快的數(shù)據(jù)包處理

(6) 支持移動IPv6，提供穩(wěn)定的移動網(wǎng)絡服務

(7) 自動配置、即插即用

(8) 流標簽提供更多的服務質(zhì)量控制能力

如下圖1為IPv4和IPv6報文頭結(jié)構(gòu)，從報文頭結(jié)構(gòu)對比看，IPv6借鑒了IPv4的應用經(jīng)驗,大大簡化了基本報頭結(jié)構(gòu),僅包含8個字段，IPv6中所有非核心功能都由擴展報頭實現(xiàn)。

2. IPv4和IPv6報文頭主要差異點如下：

(1) IPv6簡化報頭和數(shù)據(jù)長度計算：報頭長度字段已經(jīng)不在IPv6基本報頭中使用,只使用一個字段來標示數(shù)據(jù)凈荷的總長度;

(2) 更好支持DiffServ QoS服務：IPv4報頭的服務類型字段在IPv6中該字段被擴展為業(yè)務流類型、流標簽2個獨立的字段;

(3) 取消中間分片：IPv4報頭為數(shù)據(jù)分片提供了數(shù)據(jù)報文ID、分片標志、分片偏移值3個字段,目前有許多針對這3個字段的攻擊手段, IPv6采用Path MTU發(fā)現(xiàn)機制,避免了中間路由器的分片處理,消除了一些安全隱患;

(4) 取消校驗和字段：許多IPv4后續(xù)報文頭如ICMP、UDP和TCP中均含有同時覆蓋基本報頭和數(shù)據(jù)部分的檢驗和字段,因此IPv4報頭中校驗和字段是多余的,此字段在IPv6基礎報頭中已經(jīng)取消;

(5) 對選項功能的處理：IPv6采用擴展報頭實現(xiàn)選項功能,解決了IPv4中帶有選項內(nèi)容的數(shù)據(jù)包不能被高效傳輸?shù)膯栴},也使得IPsec以及未來可能出現(xiàn)的新的安全協(xié)議的采用更加方便。

從報文頭結(jié)構(gòu)對比可見，IPv4協(xié)議報文頭結(jié)構(gòu)冗余，影響轉(zhuǎn)發(fā)效率，同時缺乏對端到端安全、QoS、移動互聯(lián)網(wǎng)安全的有效支持，而IPv6協(xié)議重點針對上述幾個方面進行了改進，采用了更加精簡有效的報文頭結(jié)構(gòu)，IPv6協(xié)議選項字段都放在擴展頭中，中間轉(zhuǎn)發(fā)設備不需要處理所有擴展報文頭，提高數(shù)據(jù)包處理速度，并且通過擴展選項實現(xiàn)IPsec安全加密傳輸和對移動互聯(lián)網(wǎng)安全的支持。

圖1 IPv4和IPv6報文頭結(jié)構(gòu)

從協(xié)議族來看，IPv6協(xié)議族相對于IPv4協(xié)議族，基本部分也發(fā)生了較大的變化，如ARP協(xié)議被鄰居發(fā)現(xiàn)協(xié)議(NDP)代替，ICMPv6合并了IPv4中的ICMP(控制報文協(xié)議)，IGMP(組成員協(xié)議)、ARP(地址解析協(xié)議)、RARP(反向地址解析協(xié)議)和RA(路由廣播)等多個協(xié)議的功能。

三、IPv6協(xié)議設計的安全考慮

從協(xié)議的角度，IPv4協(xié)議誕生較早，前期設計幾乎沒有任何的安全考慮，因此特別是對報文地址的偽造與欺騙使得無法對網(wǎng)絡進行很有效的監(jiān)管和控制，而在IPv6協(xié)議設計之初，引入了AH(認證包頭)、ESP(封裝安全載荷)、SA(安全關(guān)聯(lián))、IKMP(密鑰管理協(xié)議)等加密和認證機制，并強制實現(xiàn)了IPsec認證，IPsec協(xié)議族中的AH(AuthenticationHeader，報文認證頭)和ESP(EncapsulationSecurity Payload，報文封裝安全載荷)內(nèi)嵌到協(xié)議棧中，作為IPv6的擴展頭出現(xiàn)在IP報文中，提供完整性、保密性和源認證保護，從協(xié)議設計上較大地提升安全性。

從IPv6協(xié)議安全設計上考慮，相比IPv4主要有如下增強：

• 可溯源和防攻擊：IPv6地址資源豐富，不需要部署NAT，掃描困難
• IPv6的默認IPsec安全加密機制：IPv6協(xié)議中集成了IPsec，通過認證報頭(AH)和封裝安全載荷報頭(ESP)兩個擴展頭實現(xiàn)加密、驗證功能，中間轉(zhuǎn)發(fā)設備只需要對帶有IPsec擴展包頭的報文進行普通轉(zhuǎn)發(fā)，大大減輕轉(zhuǎn)發(fā)壓力
• 鄰居發(fā)現(xiàn)協(xié)議(NDP)和SEND：采用NDP(neighbor discovery protocol)協(xié)議取代現(xiàn)有IPv4中ARP及部分ICMP控制功能如路由器發(fā)現(xiàn)、重定向等
• 真實源地址檢查體系：真實源IPv6地址驗證體系結(jié)構(gòu)(SAVA)分為接入網(wǎng)(Access Network)、區(qū)域內(nèi)(Intra-AS)和區(qū)域間(Inter-AS)源地址驗證三個層次，從主機IP地址、IP地址前綴和自治域三個粒度構(gòu)成多重監(jiān)控防御體系。

特別對于IPv4網(wǎng)絡地址而言，數(shù)量非常有限，因此很多時候是一個地址被多臺主機通過NAT等技術(shù)共用。使用IPv6之后，可以將每個地址指定給一個對象，每個地址唯一，IPv6的地址分配可采用逐級、層次化的結(jié)構(gòu)，這將使得追蹤定位、攻擊溯源得到很大的改善，用戶、報文和攻擊關(guān)聯(lián)對應，用戶對自己的任何行為負責，并具有不可否認性。

IPv6協(xié)議也定義了多播地址類型，而取消了IPv4下的廣播地址，可有效避免IPv4網(wǎng)絡中利用廣播地址發(fā)起的廣播風暴攻擊和DDoS攻擊。同時，IPv6協(xié)議規(guī)定了不允許向使用多播地址的報文回復ICMPv6差錯消息，能有效防止ICMPv6報文造成的放大攻擊。

另外，IPsec協(xié)議族中的AH和ESP安全擴展包頭為IPv6核心的安全機制和設計，提供了關(guān)鍵的加密和認證機制。

AH 是IPv6的一個安全擴展包頭，在RFC4302中定義，協(xié)議號為51。IPv6的認證主要由AH來完成。認證包頭通過在所有數(shù)據(jù)包頭加入一個密鑰，通過AH使數(shù)據(jù)包的接收者可以驗證數(shù)據(jù)是否真的是從它的源地址發(fā)出的，并提供密碼驗證或完整性測試。這種認證是IP數(shù)據(jù)包通過一定加密算法得出的編碼結(jié)果，相當于對IP數(shù)據(jù)包進行數(shù)字簽名，只有密鑰持有人才知道的“數(shù)字簽名”來對用戶進行認證，同時接收者可通過該簽名驗證數(shù)據(jù)包的完整性。AH的驗證范圍與ESP有所區(qū)別，包括了整個IPv6數(shù)據(jù)包。

AH位于IPv6頭和一些上層協(xié)議頭之間，如果存在擴展包頭，則AH必須位于逐跳選項頭、選路擴展頭和分段擴展頭之后。

ESP也是IPv6的一個安全擴展包頭，在RFC4303中定義，協(xié)議號為50。其對IPv6數(shù)據(jù)包的有效載荷部分加密，不包括IPv6包頭部分，能為IP層提供機密性、數(shù)據(jù)源驗證、抗重放以及數(shù)據(jù)完整性檢驗等安全服務，其中數(shù)據(jù)機密性是ESP的主要功能，其他均為可選。ESP頭位于IPv6頭和上層協(xié)議之間，如果存在擴展包頭，則ESP頭必須位于逐跳選項頭、選路擴展頭、分段擴展頭和認證頭之后。由于ESP只對ESP頭之后的數(shù)據(jù)加密，所以通常將目的地選項頭置于ESP頭之后。

ESP和AH各擴展包頭可以單獨使用，也可以一起使用。

四、IPv6網(wǎng)絡安全威脅分析

IPv6相對于IPv4，除了和IPv4相同的安全威脅外，新增部分主要來自于協(xié)議族、協(xié)議報文格式、自身設計實現(xiàn)、IPv4向IPv6的演進過程中新增或者變化引入的安全威脅。

1. IPv6與IPv4共同的安全威脅

IPv6與IPv4同為網(wǎng)絡層協(xié)議，有共同的安全威脅如下：

• 未配置IPsec可實施網(wǎng)絡嗅探，可能導致信息泄露
• 應用層攻擊導致的漏洞大多數(shù)在網(wǎng)絡層無法消除
• 設備仿冒接入網(wǎng)絡
• 未實施雙向認證情況下可實施中間人攻擊Man-in-the-Middle Attacks (MITM)
• 泛洪攻擊

2. IPv6協(xié)議族新增安全威脅

IPv6相對于IPv4在協(xié)議族上發(fā)生了較大的變化，新增安全威脅如下：

• 鄰居發(fā)現(xiàn)協(xié)議(ND)攻擊：針對ARP的攻擊如ARP欺騙、ARP泛洪等在IPv6協(xié)議中仍然存在,同時IPv6新增的NS、NA也成為新的攻擊目標，存在DoS攻擊、中間人攻擊等安全威脅。
• 新增ICMPv6協(xié)議作為IPv6重要的組成部分，存在DoS攻擊、反射攻擊等安全威脅;
• IPv6 支持無狀態(tài)的地址自動分配，該功能可能造成非授權(quán)用戶可以更容易的接入和使用網(wǎng)絡，存在仿冒攻擊安全威脅;
• IPv6 網(wǎng)絡環(huán)境下由于網(wǎng)絡掃描實施難度高，但仍可通過IPv6前綴信息搜集、隧道地址猜測、虛假路由通告及DNS查詢等手段搜集到活動主機信息，通過DNS獲取IPv6地址范圍和主機信息可能會成為黑客優(yōu)選攻擊路徑，針對DNS系統(tǒng)的攻擊會更加猖獗;
• IPv6組播地址仍然支持，存在通過掃描、嗅探甚至仿冒關(guān)鍵DHCP Server、Router等安全威脅。
• IPv6路由協(xié)議攻擊：RIPng/PIM依賴IPsec，OSPFv3協(xié)議不提供認證功能，而是使用IPv6的安全機制來保證自身報文的合法性，未配置IPv6安全機制，OSPFv3路由器存在仿冒的安全威脅;
• 移動IPv6仿冒偽造攻擊：移動IPv6節(jié)點能夠在不改變IP地址的情況下,在任何地方接入網(wǎng)絡都能夠直接與其他節(jié)點通信，在提供可移動性及方便通信的同時,由于移動節(jié)點的不固定性,也給不法分子提供了攻擊的機會，存在偽造綁定更新消息等安全威脅;
• MLD仿冒及泛洪攻擊。

3. IPv6協(xié)議報文格式新增安全威脅

IPv6 協(xié)議相關(guān)RFC標準在不斷的發(fā)展更新，協(xié)議自身也存在漏洞，所有遵循IPv6協(xié)議的設備都會受到該漏洞的影響，新增安全威脅如下：

• 協(xié)議自身存在漏洞，如IPv6協(xié)議Type0路由頭拒絕服務漏洞，該漏洞已于2007年12月由RFC 5095修補，禁用了IPv6擴展頭中的Type 0路由頭;
• IPv6分片攻擊
• IPv6擴展頭攻擊
• ND DAD攻擊(Duplicate Address Detection)
• ND Router Advertisement仿冒、DoS、中間人攻擊

4. IPv6自身實現(xiàn)新增安全威脅

IPv6 和IPv4協(xié)議一樣，設備與應用在實現(xiàn)對IPv6協(xié)議的支持時，不同的系統(tǒng)開發(fā)商因軟件開發(fā)能力的不同，在IPv6協(xié)議軟件開發(fā)、各種算法實現(xiàn)也會引入各種可能的安全漏洞。

從下一代互聯(lián)網(wǎng)國家工程中心全球IPv6測試中心11月份發(fā)布的《2017 IPv6支持度報告》來看：

目前的操作系統(tǒng)中，75%左右都默認安裝IPv6協(xié)議棧，65%左右支持DHCPv6，50%左右支持ND RNDSS。其中手機操作系統(tǒng)支持IPv6協(xié)議已經(jīng)從實驗室走向了應用階段，Android 4.2、IOS 4.1、Windows Phone 6.5、Symbian 7.0都已經(jīng)支持IPv6，并且默認安裝IPv6，自以上各手機系統(tǒng)版本后推出的新版本均支持IPv6。在DHCPv6功能上，IOS支持得比較好，從V4.0開始支持stateless DHCPv6，V4.3.1支持Stateful DHCPv6。Windows Phone支持DHCPv6 Lite，Android系統(tǒng)不支持DHCPv6。在鄰居發(fā)現(xiàn)(ND)選項RDNSS功能上，IOS目前已經(jīng)支持ND RDNSS，Android 5.0以上已經(jīng)支持ND RDNSS。若一個操作系統(tǒng)不支持DHCPv6和ND RDNSS，則無法在純IPv6網(wǎng)絡環(huán)境中自動配置查詢域名服務器。

各種應用軟件也逐漸開始支持IPv6以應對廣大用戶的需求。但是目前并不普遍，只有一些基礎應用軟件已經(jīng)支持IPv6。

基礎應用軟件中有一小部分已可以支持IPv6，其中瀏覽器軟件，如IE系列、Chrome、Firefox和Opera等都支持IPv6;下載軟件和郵件客戶端軟件，如FileZilla3、SmartFTP4以及Outlook等都支持IPv6。但是國內(nèi)自主研發(fā)的基礎應用軟件，除瀏覽器外，其他諸如下載軟件、即時通訊軟件等都尚無法在IPv6環(huán)境下正常使用。

各類軟件安全實現(xiàn)不當都可能引入IPv6協(xié)議安全漏洞，需要做好安全編碼及質(zhì)量保障活動。

如下為典型的IPv6協(xié)議棧實現(xiàn)方面的漏洞。

• Python getaddrinfo() remote IPv6 buffer overflow
• Apache remote IPv6 buffer overflow
• Postfix IPv6 unauthorized mail relay vulnerability
• Openbsd remote code execution in IPv6 stack
• ……

5. IPv4向IPv6演進過程中新增安全威脅

IPv4向IPv6的過渡是一個長期的過程，在IPv4與IPv6共存時期，為解決兩者間互通所采取的各種措施將帶來新的安全風險。例如，隧道方式下存在的拒絕服務攻擊、中間人攻擊，NAT-PT技術(shù)下存在的拒絕服務攻擊等。

IPv4向IPv6的演進過程中涉及到雙棧、隧道以及翻譯技術(shù)，主要安全威脅如下：

• 雙棧技術(shù)：許多操作系統(tǒng)都支持雙棧，IPv6默認是激活的，但并沒有向IPv4一樣加強部署IPv6的安全策略，支持自動配置，即使在沒有部署IPv6的網(wǎng)絡中，這種雙棧主機也可能受到IPv6協(xié)議攻擊。
• 隧道技術(shù)：幾乎所有的隧道機制都沒有內(nèi)置認證、完整性和加密等安全功能，攻擊者可以隨意截取隧道報文，通過偽造外層和內(nèi)層地址偽裝成合法用戶向隧道中注入攻擊流量，存在仿冒以及篡改泛洪攻擊安全威脅。
• 翻譯技術(shù)：涉及載荷轉(zhuǎn)換，無法實現(xiàn)端到端IPsec，存在受到NAT設備常見的地址池耗盡等DDoS攻擊安全威脅。

五、互聯(lián)網(wǎng)IPv6網(wǎng)絡安全保障體系及策略探討

隨著基于IPv6的下一代網(wǎng)絡中應用的增加、速度的加快和規(guī)模的變大，IPv6網(wǎng)絡面臨著新的安全風險。

對于互聯(lián)網(wǎng)網(wǎng)絡，安全是保證網(wǎng)絡健康發(fā)展的重要因素，IPv6網(wǎng)絡安全保障體系的配套建設作為IPv6網(wǎng)絡建設的重要方面，在IPv6網(wǎng)絡設計階段對網(wǎng)絡安全需要進行通盤考慮，提升網(wǎng)絡架構(gòu)的整體安全性。

網(wǎng)絡安全保障體系可分為靜態(tài)安全防護體系以及動態(tài)安全運營體系兩個層面。

靜態(tài)安全防護體系根據(jù)ITU-T X.805標準(端到端通信系統(tǒng)安全框架)，網(wǎng)絡可分為基礎設施層、業(yè)務層和應用層，每個網(wǎng)絡層次可以劃分為管理、控制和數(shù)據(jù)三個平面。采用多種技術(shù)手段隔離管控，并在每個平面實施相應安全防護措施，從而使每個平面在安全方面都具備訪問控制、鑒別、不可抵賴、數(shù)據(jù)保密性、通信安全、完整性、可用性和隱私性8個屬性防護能力。

動態(tài)安全運營體系通過安全檢測和響應等安全基礎設施和相關(guān)安全管理組織、制度和流程的配套建設，可實現(xiàn)對網(wǎng)絡安全風險的動態(tài)發(fā)現(xiàn)和管理。

與IPv4相比，可以共用相同的網(wǎng)絡整體安全保障體系，但在IPv4基礎網(wǎng)絡的前提下需要確定升級演進到IPv6的策略，基于IPv6的特點和安全威脅分析，識別IPv6安全產(chǎn)品缺失的現(xiàn)狀并補齊，確定改造節(jié)奏，包括LVS、DNS等各類型服務器、網(wǎng)絡設備、DDoS設備、防火墻等，升級安全系統(tǒng)，結(jié)合業(yè)務實際利用好IPv6協(xié)議本身的安全增強技術(shù)手段，增強IPv6安全防護，同時加強IPv6環(huán)境各業(yè)務領域特別是新興領域物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等的網(wǎng)絡安全技術(shù)、管理及機制研究，促進新的安全業(yè)務和應用的開展，形成全球領先的下一代互聯(lián)網(wǎng)技術(shù)產(chǎn)業(yè)體系。

六、IPv6網(wǎng)絡安全加固建議

雖然IPv6相對于IPv4來說增強了自身的安全機制，但一個新協(xié)議的引入必然會引入新的安全問題，對已有的網(wǎng)絡安全技術(shù)體系造成影響，因此熟悉已有業(yè)務及網(wǎng)絡、IPv6現(xiàn)狀及其安全性并針對性部署安全加固非常重要。

針對不同的IPv6網(wǎng)絡安全風險，有不同的安全應對技術(shù)、措施和方法，需要采取合適自身的IPv6安全解決方案及措施，構(gòu)筑IPv6網(wǎng)絡安全及IPv6環(huán)境下新興領域安全保障能力。

如下典型的IPv6網(wǎng)絡安全加固建議供參考。

• 做好IPv6網(wǎng)絡各層各面和各安全域的隔離及訪問控制，將安全影響控制到最小;
• 合理管控IPv6管理、控制和數(shù)據(jù)平面之間的資源互訪，在各平面安全域根據(jù)各域的特點輔以相應的安全保護和控制措施，實施雙棧的情況建議在IPv4/6雙棧設備上采用嚴格的網(wǎng)絡過濾和訪問控制，防范IPv4和IPv6安全問題的相互影響;
• 做好管理和控制平面IPv6網(wǎng)絡接入的認證與鑒權(quán)，制定完善的邊界防護策略，防止惡意設備及用戶的接入，結(jié)合業(yè)務實際情況有效利用IPv6協(xié)議的IPsec特性、源地址過濾技術(shù)等加強平面內(nèi)的安全保護;
• 控制平面做好新增ICMPv6協(xié)議安全防護，建議根據(jù)實際情況選擇合適的安全措施，例如配置ACL白名單，僅允許必須的ICMPv6等報文通過，接口關(guān)閉ICMPv6重定向、端口停止發(fā)送RA消息，關(guān)閉發(fā)送ICMP不可達信息，關(guān)閉源路由防止Type 0 Routing Header攻擊等;
• 控制平面通過IPsec、認證以及白名單策略等做好IPv6網(wǎng)絡路由等協(xié)議安全防護;
• 管理平面與IPv4網(wǎng)絡類似，通過白名單策略、禁用不使用的IPv6服務等，確保攻擊面最小;
• 數(shù)據(jù)平面與IPv4網(wǎng)絡類似，配置ACL白名單策略，關(guān)閉不必要的服務、禁止源路由，部署IPv6 uRPF等;
• DNS做好IPv6掃描及嗅探的安全檢測及防護;
• 建議嚴格限制IPv6同一片報文的分片數(shù)目，設置合理的分片緩沖超時時間;
• 建議配置端口的最大ND表項學習數(shù)量，限制擴展頭的數(shù)量和同一類型擴展頭實例的數(shù)目;
• IPv6網(wǎng)絡涉及各類服務器、終端、網(wǎng)絡設備及應用軟件等，設計及開發(fā)需要遵從成熟的安全工程方法及規(guī)范，確保IPv6協(xié)議棧安全質(zhì)量，同時做好已知漏洞的安全檢測及修復;
• IPv6協(xié)議攻擊的實施目前已有很成熟的開源安全工具套件，例如THC-IPv6、Si6 Networks ipv6-toolkit等，IPv6網(wǎng)絡及協(xié)議上線運行時，需要提前做好網(wǎng)絡中各部分IPv6協(xié)議棧健壯性測試、安全滲透測試及安全質(zhì)量評估，及時削減安全風險;
• 基于IPv6的特點和安全威脅分析，確定IPv4升級演進到IPv6的策略，識別IPv6安全產(chǎn)品缺失的現(xiàn)狀并補齊，確定改造節(jié)奏，升級安全系統(tǒng)。

網(wǎng)頁標題：下一代互聯(lián)通信網(wǎng)絡部署在即，IPv6安全防護準備好了嗎？
路徑分享：http://m.5511xx.com/article/cohhgec.html