IPv6轉換過程中有哪些安全防護措施？

1、IPv6地址過濾

防火牆或路由器進行IPv6地址過濾配置，具備非法地址過濾條目（如多播地址，鏈路本地地址作為源地址的過濾條目），具備單播逆向（uRPF）過濾等功能，可抵禦非法路由條目攻擊。

2、路由協議安全防護

路由器、防火牆或三層交換機的路由配置，中科三方採用IPv6路由協議，如OSPFv3認證功能，OSPFv3主要用於在IPv6網路中提供路由功能，OSPFv3是基於OSPFv2上開發用於IPv6網路的路由協議。為適應IPv6執行環境，支援IPv6報文的轉發，OSPFv3相對OSPFv2做出相關的改進，使得OSPFv3可以獨立於網路層協議，並且其擴充套件性加強，可以滿足未來的需求。

3、DHCPv6安全防護

DHCPv6的場景下，DHCPv6伺服器或路由裝置上配置DHCP安全防護，能防止非法DHCP使用者攻擊。與其他IPv6地址分配手段（手工配置、透過路由器通告訊息中的網路字首無狀態自動配置等）相比，DHCPv6具有以下優點：

（1）更好地控制IPv6地址的分配。DHCPv6方式不僅可以記錄為IPv6主機分配的地址，還可以為特定的IPv6主機分配特定的地址，以便於網路管理。

（2）DHCPv6支援為網路裝置分配IPv6字首，便於全網路的自動配置和網路層次性管理。

（3）除了為IPv6主機分配IPv6地址/字首外，還可以分配DNS伺服器IPv6地址等網路配置引數。

4、NAT轉換裝置安全防護

使用NAT的場景下， 中科三方在NAT轉換裝置上配置了安全防護，抵禦NAT相關攻擊。按照NAT的具體工作方式，又可以做如下分類：

（1）應用層閘道器
應用層閘道器(ALG)是解決NAT對應用層協議無感知的一個最常用方法，已經被NAT裝置廠商廣泛採用，成為NAT裝置的一個必需功能。

（2）探針技術STUN和TURN
所謂探針技術，是透過在所有參與通訊的實體上安裝探測外掛，以檢測網路中是否存在NAT閘道器，並對不同NAT模型實施不同穿越方法的一種技術。

（3）中介軟體技術

與ALG的不同在於，客戶端會參與閘道器公網對映資訊的維護，此時NAT閘道器只要理解客戶端的請求並按照要求去分配轉換表，不需要自己去分析客戶端的應用層資料。

（4）中繼代理技術
在NAT閘道器所在的位置旁邊放置一個應用伺服器，這個伺服器在內部網路和外部公網分別有自己的網路連線。

5、NAT安全溯源

使用NAT的場景下，能夠記錄IPv6源地址，抵禦IPv6攻擊。將某一時刻NAT地址池中特定合法IP的特定埠是哪個使用者在使用的資訊傳送給日誌伺服器，由日誌伺服器儲存一定時間，供相關部門查詢。

6、IPv6相關的防火牆（含WAF）的安全防護

防火牆（含WAF）的配置，如防火牆的執行模式（過濾或NAT），防火牆的ACL級別（IP或埠），防火牆上可啟用的額外功能（VPN、IDS、Web應用防護）的Web應用防火牆。