在上一期中,小编为大家盘点了IPv6转换过程中的一些常见问题及相关解答(点击查看),那在此过程中国科云采用了哪些防护措施来保证IPv6转换服务的安全和稳定呢?
1、IPv6地址过滤
防火墙或路由器进行IPv6地址过滤配置,具备非法地址过滤条目(如多播地址,链路本地地址作为源地址的过滤条目),具备单播逆向(uRPF)过滤等功能,可抵御非法路由条目攻击。
2、路由协议安全防护
路由器、防火墙或三层交换机的路由配置,采用IPv6路由协议,如OSPFv3认证功能,OSPFv3主要用于在IPv6网络中提供路由功能,OSPFv3是基于OSPFv2上开发用于IPv6网络的路由协议。为适应IPv6运行环境,支持IPv6报文的转发,OSPFv3相对OSPFv2做出相关的改进,使得OSPFv3可以独立于网络层协议,并且其扩展性加强,可以满足未来的需求。
3、DHCPv6安全防护
DHCPv6的场景下,DHCPv6服务器或路由设备上配置DHCP安全防护,能防止非法DHCP用户攻击。与其他IPv6地址分配方式(手工配置、通过路由器通告消息中的网络前缀无状态自动配置等)相比,DHCPv6具有以下优点:
(1)更好地控制IPv6地址的分配。DHCPv6方式不仅可以记录为IPv6主机分配的地址,还可以为特定的IPv6主机分配特定的地址,以便于网络管理。
(2)DHCPv6支持为网络设备分配IPv6前缀,便于全网络的自动配置和网络层次性管理。
(3)除了为IPv6主机分配IPv6地址/前缀外,还可以分配DNS服务器IPv6地址等网络配置参数。
4、NAT转换设备安全防护
使用NAT的场景下,在NAT转换设备上配置了安全防护,抵御NAT相关攻击。按照NAT的具体工作方式,又可以做如下分类。
(1)应用层网关
应用层网关(ALG)是解决NAT对应用层协议无感知的一个最常用方法,已经被NAT设备厂商广泛采用,成为NAT设备的一个必需功能。
(2)探针技术STUN和TURN
所谓探针技术,是通过在所有参与通信的实体上安装探测插件,以检测网络中是否存在NAT网关,并对不同NAT模型实施不同穿越方法的一种技术。
(3)中间件技术
与ALG的不同在于,客户端会参与网关公网映射信息的维护,此时NAT网关只要理解客户端的请求并按照要求去分配转换表,不需要自己去分析客户端的应用层数据。
(4)中继代理技术
在NAT网关所在的位置旁边放置一个应用服务器,这个服务器在内部网络和外部公网分别有自己的网络连接。
5、NAT安全溯源
使用NAT的场景下,能够记录IPv6源地址,抵御IPv6攻击。将某一时刻NAT地址池中特定合法IP的特定端口是哪个用户在使用的信息发送给日志服务器,由日志服务器保存一定时间,供相关部门查询。
6、IPv6相关的防火墙(含WAF)的安全防护
防火墙(含WAF)的配置,如防火墙的运行模式(过滤或NAT),防火墙的ACL级别(IP或端口),防火墙上可启用的额外功能(VPN、IDS、Web应用防护)的Web应用防火墙。
【点击链接,免费试用国科云IPv6改造产品】
相关推荐:
什么是IPv6?IPv6和IPv4有哪些区别?