由于巨大的地址空间,IPv6网络安全防护技术在应对一些安全攻击方面具有天然的优势。这在可跟踪性、黑客检测能力、邻居检测协议、安全邻居检测协议和端到端IPSec安全传输能力方面提高了网络安全性。
根据《推进互联网协议第6版(IPv6)规模部署行动计划》,华为安全详细说明了IPv6规模部署中的网络安全保护。考虑到以前IPv6行业的影响,本期重点关注IPv6网络安全防护技术--。
IPv6网络安全防护技术特点
1、可追溯性
IPv6巨大的地址空间为每个网络设备分配了一个唯一的网络地址。IPv4网络NAT不需要解决地址不足的问题,有利于跟踪和跟踪,提高安全性。
2、反黑客检测能力
由于IPv6地址巨大,在IPv4网络中,黑客常用的检测器扫描器在IPv6网络中变得更加困难。
3、MRL传输
在IPv6中,ARP功能将被NDP(邻居发现协议)取代。邻居发现他们正在寻找通过协议连接的其他节点,评估其他节点的地址,并找到可用的路由。与ARP相比,NDP仅在连接层实现,与传输介质无关。新一代安全邻居搜索(SEND)协议通过独立于不同IPSec的加密方法确保传输安全。
4、完成IPSec安全传输功能
IPSec为IPv6网络中的每个节点提供数据源身份验证、完整性和机密性功能,并提供全面的安全加密。
IPv6网络安全防护技术七问七答
1、IPv6和IPv4安全功能有何区别?
IPv6网络的安全性只改变了IP数据头和寻址方式,引入了端到端的安全机制。与IPv4相比,IPv6并没有显著改善当前的安全风险。
2、IPv4网络使用NAT技术隐藏内部网络IP地址以确保安全。IPv6网络是否需要类似的技术来增强安全性?
IPv6的NPT(网络前缀转换)(RFC 6296)协议执行类似于IPv4 NAT的功能,允许IPv6地址的1:1映射,从而实现隐藏内部IPv6地址的效果。
3、对应用程序级攻击和IPv6网络防御有何影响?
应用层防御功能通常包括协议识别、IPS、防病毒、URL过滤器等,主要检测消息应用层的负载,几乎不受IPv4/IPv6网络层协议的影响。因此,IPv6网络传统IPv4协议下的大多数应用层安全功能不会受到影响。
然而,一些IPv4网络协议改变了其对IPv6网络的要求。例如,如果DNS协议更新为DNSV6,则应根据协议更改调整适当的应用程序层检查。
4、IPv6在扩展头中增加了IPSec的端到端加密功能。要在应用程序中使用此功能,网络安全设备应如何检测和保护加密数据?
通常,网络安全设备无法解密IPSec加密的流量,只能从IP地址对其进行控制。然而,在当前情况下,这些“嵌入式”IPSec需要使用关键分发技术,这些技术通常不成熟,并将导致高昂的管理成本。由于网络安全设备无法正确解密IPSec通信,防火墙和其他网络安全设备不能在网络和应用程序级别检测IPSec通讯。从某种意义上说,系统的安全性无法得到充分保证。对于一般企业应用程序,出于管理成本和安全考虑,建议继续使用防火墙进行IPSec VPN加密和解密,并在网关站点(如IPS和状态防火墙)执行安全检查。一旦技术成熟,加密就可以部署到最后。
5、IPv6协议会影响Q5SSL代理功能吗?
SSL代理可以维护IPv6 SSL加密数据的解密,而无需依赖网络层的特定协议。
6、 IPv6网络,如何通过防火墙访问安全策略管理?安全策略与IPv4有何不同?
IPv6和IPv4安全策略的管理和控制是相同的,但必须根据ACL的五元组进行配置。只有当IPv6地址变长时,策略配置才会变得更加复杂。
7、在现有安全设备上使用IPv4/IPv6双栈功能时,IPv4服务如何影响功能和性能?
IPv4/IPv6双栈通常不影响安全设备的功能,但主要影响设备的性能。IPv6协议栈消耗了IPv4服务的CPU、内存等资源,因此现有的IPv4业务在会话表容量、新速度和吞吐量方面都有一定的下降。在升级/启用IPv4/IPv6双栈之前,建议评估现有安全设备的处理能力,并根据需要更换现有安全设备,以避免影响现有IPv4服务。
