IPv6轉換過程中有哪些安全防護措施?

youbingke發表於2021-03-09

1、IPv6地址過濾

防火牆或路由器進行IPv6地址過濾配置,具備非法地址過濾條目(如多播地址,鏈路本地地址作為源地址的過濾條目),具備單播逆向(uRPF)過濾等功能,可抵禦非法路由條目攻擊。


2、路由協議安全防護

路由器、防火牆或三層交換機的路由配置,中科三方採用IPv6路由協議,如OSPFv3認證功能,OSPFv3主要用於在IPv6網路中提供路由功能,OSPFv3是基於OSPFv2上開發用於IPv6網路的路由協議。為適應IPv6執行環境,支援IPv6報文的轉發,OSPFv3相對OSPFv2做出相關的改進,使得OSPFv3可以獨立於網路層協議,並且其擴充套件性加強,可以滿足未來的需求。


3、DHCPv6安全防護

DHCPv6的場景下,DHCPv6伺服器或路由裝置上配置DHCP安全防護,能防止非法DHCP使用者攻擊。與其他IPv6地址分配手段(手工配置、透過路由器通告訊息中的網路字首無狀態自動配置等)相比,DHCPv6具有以下優點:

(1)更好地控制IPv6地址的分配。DHCPv6方式不僅可以記錄為IPv6主機分配的地址,還可以為特定的IPv6主機分配特定的地址,以便於網路管理。

(2)DHCPv6支援為網路裝置分配IPv6字首,便於全網路的自動配置和網路層次性管理。

(3)除了為IPv6主機分配IPv6地址/字首外,還可以分配DNS伺服器IPv6地址等網路配置引數。


4、NAT轉換裝置安全防護

使用NAT的場景下, 中科三方在NAT轉換裝置上配置了安全防護,抵禦NAT相關攻擊。按照NAT的具體工作方式,又可以做如下分類:

(1)應用層閘道器
應用層閘道器(ALG)是解決NAT對應用層協議無感知的一個最常用方法,已經被NAT裝置廠商廣泛採用,成為NAT裝置的一個必需功能。

(2)探針技術STUN和TURN
所謂探針技術,是透過在所有參與通訊的實體上安裝探測外掛,以檢測網路中是否存在NAT閘道器,並對不同NAT模型實施不同穿越方法的一種技術。

(3)中介軟體技術

與ALG的不同在於,客戶端會參與閘道器公網對映資訊的維護,此時NAT閘道器只要理解客戶端的請求並按照要求去分配轉換表,不需要自己去分析客戶端的應用層資料。

(4)中繼代理技術
在NAT閘道器所在的位置旁邊放置一個應用伺服器,這個伺服器在內部網路和外部公網分別有自己的網路連線。


5、NAT安全溯源

使用NAT的場景下,能夠記錄IPv6源地址,抵禦IPv6攻擊。將某一時刻NAT地址池中特定合法IP的特定埠是哪個使用者在使用的資訊傳送給日誌伺服器,由日誌伺服器儲存一定時間,供相關部門查詢。


6、IPv6相關的防火牆(含WAF)的安全防護

防火牆(含WAF)的配置,如防火牆的執行模式(過濾或NAT),防火牆的ACL級別(IP或埠),防火牆上可啟用的額外功能(VPN、IDS、Web應用防護)的Web應用防火牆。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69996004/viewspace-2761926/,如需轉載,請註明出處,否則將追究法律責任。

相關文章