IPv6规模部署下安全技术七问七答|立博官网

立博官网

立博官网_IPv6因地址空间极大,在应付部分安全性反击方面具备天然优势,在可本源性、反黑客嗅探能力、一家人找到协议、安全性一家人找到协议以及末端到端的IPSec安全性传输能力等方面提高了网络安全性。针对《前进互联网协议第六版(IPv6)规模部署行动计划》,华为安全性得出了IPv6规模部署下网络安全防水的详细理解,接续上期IPv6行业影响,本期探讨IPv6安全性技术。可本源性IPv6极大的地址空间为每个网络设备分配了一个独一无二的网络地址,不必须像在IPv4网络中通过NAT解决问题地址严重不足问题,从而不利于事后查出追溯,提升安全性的保障性。反黑客嗅探能力由于可观的IPv6地址,使得在IPv4网络中经常被黑客用于的嗅探扫瞄在IPv6网络中显得更为艰难。

NDP&SEND在IPv6中,ARP的功能被一家人找到协议(NDP)所替换。一家人找到协议通过找到链路上的其他节点,辨别其他节点的地址,找寻能用路由。对比ARP,NDP仅有在链路层构建,更为独立国家于传输介质。下一代互联网的安全性一家人找到(SEND)协议通过独立国家于IPSec的另一种加密方式,确保了传输的安全性。

末端到末端IPSec安全性传输能力IPSec为IPv6网络中的每个节点获取了数据源证书、完整性和保密性的能力,构建末端到端的安全性加密。Q1IPv6追加的安全性特性与IPv4有什么区别?IPv6网络的安全性,由于仅有是IP张家口、传输速率方式再次发生了变化,内置了末端到端的安全性机制,所以比较IPv4,在安全性方面IPv6对当前的各种安全性风险的防止并没过于大的提升。Q2基于安全性考虑到,IPv4网络用于NAT技术来隐蔽内网IP地址,IPv6网络否也必须类似于技术来提高安全性?IPv6的NPT(NetworkPrefixTranslation)(RFC6296)协议可以构建与IPv4NAT类似于的功能,容许IPv6地址的1:1同构,超过隐蔽内部IPv6地址的效果。

Q3对于应用层反击,IPv6网络的防卫手段和方式都有哪些影响?应用层防卫功能一般还包括协议辨识、IPS、反病毒、URL过滤器等,主要检测报文的应用层阻抗,完全不不受网络层协议IPv4/IPv6影响,因此,大部分传统IPv4协议下的应用层安全性能力在IPv6网络中不不受影响。但有少部分IPv4网络协议在IPv6网络下自身必须再次发生了变化,比如DNS协议升级到DNSv6,那么对应的应用层安全性检测必须根据协议变化展开调整。

Q4IPv6在拓展头中减少了IPSec的末端到末端加密能力,如果应用于打开了此项功能,那么网络安全设备该如何检测和防卫加密流量?一般情况下,网络安全设备无法解密IPSec加密流量,仅有能基于IP地址来掌控。但从目前的情况来看,这种“嵌入”的IPSec必须用于密钥发给技术,总体上并不成熟期,管理成本低,另外,由于网络安全设备长时间是无法解密IPSec流量,防火墙等网络官方首页安全设备就无法在网络&应用层来检测IPSec流量,从某种程度上,系统的安全性得到原始的确保。对于一般企业应用,基于管理成本和安全性考虑到,建议仍用于防火墙构建IPSecVPN加解密,并在网关方位展开IPS、状态防火墙等安全检查,待技术成熟期后再行部署末端到末端加密。Q5SSL代理功能在IPv6协议下否受到影响?SSL代理不依赖网络层的明确协议,仍可以对IPv6SSL加密流量构建解密。

Q6对于IPv6网络,如何通过防火墙来构建安全策略管理,与IPv4的安全策略有何有所不同?IPv6与IPv4的安全策略管控是一样的,仍必须基于ACL的五元组来逐项配备,仅有是IPv6地址逆宽,使得策略配备更为简单。Q7在现有安全设备上打开IPv4/IPv6双栈功能后,在功能和性能都会对IPv4业务有何影响?打开IPv4/IPv6双栈一般会对安全设备的功能产生影响,主要影响设备的性能,因为IPv6协议栈会挤占IPv4业务的CPU和内存等资源,造成现有的IPv4业务在会话表格容量、新建速率、陡然率上不会经常出现有所不同程度的上升。

建议在升级/打开IPv4/IPv6双栈前评估现有安全设备的处置能力,适当时可以更换现有安全设备,防止影响现有IPv4业务。_立博官网。

本文来源:立博官网-www.spafuzion.com