中科三方：IPv6升級改造防護措施，這些你都知道嗎？

1、DHCPv6安全防護：DHCPv6的場景下，DHCPv6伺服器或路由裝置上配置DHCP安全防護，能防止非法DHCP使用者攻擊。與其他IPv6地址分配 方式相比，DHCPv6可以更好地控制IPv6地址的分配。DHCPv6支援為網路裝置分配IPv6字首，便於全網路的自動配置和網路層次性管理。而且還可以分配DNS伺服器IPv6地址等網路配置引數。

2、IPv6相關的防火牆（含WAF）的安全防護，防火牆（含WAF）的配置，如：

（1）防火牆的執行模式（過濾或NAT）；

（2）防火牆的ACL級別（IP或埠）；

（3）防火牆上可啟用的額外功能（VPN、IDS、Web應用防護）的Web應用防火牆。

3、NAT轉換裝置安全防護：使用NAT的場景下，在NAT轉換裝置上配置了安全防護，抵禦NAT相關攻擊。按照NAT的具體工作方式，又可以做如下分類。

（1）應用層閘道器；

（2）探針技術STUN和TURN；

（3）中介軟體技術；

（4）中繼代理技術。

4、路由協議安全防護：路由器、防火牆或三層交換機的路由配置，採用IPv6路由協議，如：OSPFv3認證功能，OSPFv3主要用於在IPv6網路中提供路由功能，OSPFv3是基於OSPFv2上開發用於IPv6網路的路由協議。其可以獨立於網路層協議，並且其擴充套件性加強，可以滿足未來的需求。

5、NAT安全溯源：使用NAT的場景下，能夠記錄IPv6源地址，抵禦IPv6攻擊。將某一時刻NAT地址池中特定合法IP的特定埠是哪個使用者在使用的資訊傳送給日誌伺服器，由日誌伺服器儲存一定時間，供相關部門查詢。

6、IPv6地址過濾：防火牆或路由器進行IPv6地址過濾配置，具備非法地址過濾條目（如多播地址，鏈路本地地址作為源地址的過濾條目），具備單播逆向（uRPF）過濾等功能，可抵禦非法路由條目攻擊。