與ipv4相比,ipv6具有許多優勢。首先,ipv6解決了ip位址數量短缺的問題;其次,ipv6對ipv4協議中諸多不完善之處進行了較大的改進。其中最為顯著的就是將ipsec整合到協議內部,從此ipsec將不再單獨存在,而是作為ipv6協議固有的一部分貫穿於ipv6的各個領域。
當然,ipsec的大規模使用將不可避免地對網路裝置的**效能產生影響,這就需要更高的硬體效能保障。本文主要介紹ipv6網路的安全性、安全機制。
1. 協議安全
在協議安全層面上,ipv6全面支援認證頭(ah)認證和封裝安全有效負荷(esp)資訊保安封裝擴充套件頭。ah認證支援hmac_md5_96、hmac_sha_1_96認證加密演算法,esp封裝支援des_cbc、3des_cbc以及null等三種演算法。
2. 網路安全
① 端到端的安全保證。在兩端主機上對報文進行ipsec封裝,中間路由器實現對有ipsec擴充套件頭的ipv6報文進行透傳,從而實現端到端的安全。
② 對內部網路的保密。當內部主機與網際網路上其他主機進行通訊時,為了保證內部網路的安全,可以通過配置的ipsec閘道器實現。因為ipsec作為ipv6的擴充套件報頭不能被中間路由器而只能被目的節點解析處理,因此ipsec閘道器可以通過ipsec隧道的方式實現,也可以通過ipv6擴充套件頭中提供的路由頭和逐跳選項頭結合應用層閘道器技術來實現。
後者的實現方式更加靈活,有利於提供完善的內部網路安全,但是比較複雜。
③ 通過安全隧道構建安全的vpn。此處的vpn是通過ipv6的ipsec隧道實現的。在路由器之間建立ipsec的安全隧道,構成安全的vpn是最常用的安全網路組建方式。
ipsec閘道器的路由器實際上就是ipsec隧道的終點和起點,為了滿足**效能的要求,該路由器需要專用的加密板卡。
④ 通過隧道巢狀實現網路安全。通過隧道巢狀的方式可以獲得多重的安全保護。當配置了ipsec的主機通過安全隧道接入到配置了ipsee閘道器的路由器,並且該路由器作為外部隧道的終結點將外部隧道封裝剝除時,巢狀的內部安全隧道就構成了對內部網路的安全隔離。
3. 其他安全保障
ipsec為網路資料和資訊內容的有效性、一致性以及完整性提供了保證,但是資料網路的安全威脅是多層面的,它們分布在物理層、資料鏈路層、網路層、傳輸層和應用層等各個部分。
對於物理層的安全隱患,可以通過配置冗餘裝置、冗餘線路、安全供電、保障電磁相容環境以及加強安全管理來防護。對於物理層以上層面的安全隱患,可以採用以下防護手段:通過諸如aaa、tacacs+、radius等安全訪問控制協議控制使用者對網路的訪問許可權來防止針對應用層的攻擊;通過mac位址和ip位址繫結、限制每埠的mac位址使用數量、設立每埠廣播包流量門限、使用基於埠和vlan的acl、建立安全使用者隧道等來防範針對二層網路的攻擊;通過進行路由過濾、對路由資訊的加密和認證、定向組播控制、提高路由收斂速度、減輕路由振盪的影響等措施來加強三層網路的安全性。
路由器和交換機對ipsec的完善支援保證了網路資料和資訊內容的有效性、一致性以及完整性,並且為網路安全提供了諸多解決辦法。
與ipv4相比,ipv6具有許多優勢。首先,ipv6解決了ip位址數量短缺的問題;其次,ipv6對ipv4協議中諸多不完善之處進行了較大的改進。其中最為顯著的就是將ipsec整合到協議內部,從此ipsec將不再單獨存在,而是作為ipv6協議固有的一部分貫穿於ipv6的各個領域。
當然,ipsec的大規模使用將不可避免地對網路裝置的**效能產生影響,這就需要更高的硬體效能保障。本文主要介紹ipv6網路的安全性、安全機制。
1. 協議安全
在協議安全層面上,ipv6全面支援認證頭(ah)認證和封裝安全有效負荷(esp)資訊保安封裝擴充套件頭。ah認證支援hmac_md5_96、hmac_sha_1_96認證加密演算法,esp封裝支援des_cbc、3des_cbc以及null等三種演算法。
2. 網路安全
① 端到端的安全保證。在兩端主機上對報文進行ipsec封裝,中間路由器實現對有ipsec擴充套件頭的ipv6報文進行透傳,從而實現端到端的安全。
beicai edu
② 對內部網路的保密。當內部主機與網際網路上其他主機進行通訊時,為了保證內部網路的安全,可以通過配置的ipsec閘道器實現。因為ipsec作為ipv6的擴充套件報頭不能被中間路由器而只能被目的節點解析處理,因此ipsec閘道器可以通過ipsec隧道的方式實現,也可以通過ipv6擴充套件頭中提供的路由頭和逐跳選項頭結合應用層閘道器技術來實現。
後者的實現方式更加靈活,有利於提供完善的內部網路安全,但是比較複雜。
③ 通過安全隧道構建安全的vpn。此處的vpn是通過ipv6的ipsec隧道實現的。在路由器之間建立ipsec的安全隧道,構成安全的vpn是最常用的安全網路組建方式。
ipsec閘道器的路由器實際上就是ipsec隧道的終點和起點,為了滿足**效能的要求,該路由器需要專用的加密板卡。
④ 通過隧道巢狀實現網路安全。通過隧道巢狀的方式可以獲得多重的安全保護。當配置了ipsec的主機通過安全隧道接入到配置了ipsee閘道器的路由器,並且該路由器作為外部隧道的終結點將外部隧道封裝剝除時,巢狀的內部安全隧道就構成了對內部網路的安全隔離。
3. 其他安全保障
ipsec為網路資料和資訊內容的有效性、一致性以及完整性提供了保證,但是資料網路的安全威脅是多層面的,它們分布在物理層、資料鏈路層、網路層、傳輸層和應用層等各個部分。
對於物理層的安全隱患,可以通過配置冗餘裝置、冗餘線路、安全供電、保障電磁相容環境以及加強安全管理來防護。對於物理層以上層面的安全隱患,可以採用以下防護手段:通過諸如aaa、tacacs+、radius等安全訪問控制協議控制使用者對網路的訪問許可權來防止針對應用層的攻擊;通過mac位址和ip位址繫結、限制每埠的mac位址使用數量、設立每埠廣播包流量門限、使用基於埠和vlan的acl、建立安全使用者隧道等來防範針對二層網路的攻擊;通過進行路由過濾、對路由資訊的加密和認證、定向組播控制、提高路由收斂速度、減輕路由振盪的影響等措施來加強三層網路的安全性。
路由器和交換機對ipsec的完善支援保證了網路資料和資訊內容的有效性、一致性以及完整性,並且為網路安全提供了諸多解決辦法。
基於IPv6的下一代網路技術與網路安全
作者 倪紅彪 資訊保安與技術 2013年第01期 摘要 隨著網際網路使用者的不斷增加和新型應用對ip位址的依賴,ipv6位址取代ipv4已成為必然,而在此過程中,一方面要確保業務的連續性,另一方面還要確保安全性。本文通過對ipv6關鍵技術和網路安全的研究,重點討論了在新的網路環境下,ipv4向ipv...
IT職業技能培訓教程模組6 網路配置
模組 6 網路配置 一 教學目標 終極目標 掌握網路配置引數的含義,能對網路問題進行檢測,理解校園網路拓撲結構。促成目標 1 能夠根據某個正確網路配置引數配置乙個新的計算機接入網路 2 理解校園網網路拓撲結構 3 能解決簡單網路問題和故障。二 能力訓練 活動一 配置網路引數 時間 0.5 學時 要求...
鄭州市疾控中心2023年網路維護協議
鄭州市疾控中心網路維護協議 甲方 鄭州市疾病預防控制中心 乙方 河南維康軟體 甲 乙雙方經過協商,雙方在平等自願 互惠互利 誠實信用的基礎上開展合作,就甲方委託乙方負責其單位網路 門戶 和實驗室資訊管理系統的維護事宜,達成以下協議 一 甲方的權利和義務 1 甲方在本協議的有效期內,有要求乙方按照本協...