中科三方IPv6转换服务中有哪些安全措施?

发布时间:2021-03-09 16:10:00


在上一期中,小编为大家盘点了IPv6转换过程中的一些常见问题及相关解答(点击查看),那在此过程中中科三方采用了哪些防护措施来保证IPv6转换服务的安全和稳定呢?  

1、IPv6地址过滤

防火墙或路由器进行IPv6地址过滤配置,具备非法地址过滤条目(如多播地址,链路本地地址作为源地址的过滤条目),具备单播逆向(uRPF)过滤等功能,可抵御非法路由条目攻击。

2、路由协议安全防护

路由器、防火墙或三层交换机的路由配置,采用IPv6路由协议,如OSPFv3认证功能,OSPFv3主要用于在IPv6网络中提供路由功能,OSPFv3是基于OSPFv2上开发用于IPv6网络的路由协议。为适应IPv6运行环境,支持IPv6报文的转发,OSPFv3相对OSPFv2做出相关的改进,使得OSPFv3可以独立于网络层协议,并且其扩展性加强,可以满足未来的需求。

3、DHCPv6安全防护

DHCPv6的场景下,DHCPv6服务器或路由设备上配置DHCP安全防护,能防止非法DHCP用户攻击。与其他IPv6地址分配方式(手工配置、通过路由器通告消息中的网络前缀无状态自动配置等)相比,DHCPv6具有以下优点:

1更好地控制IPv6地址的分配。DHCPv6方式不仅可以记录为IPv6主机分配的地址,还可以为特定的IPv6主机分配特定的地址,以便于网络管理。

2DHCPv6支持为网络设备分配IPv6前缀,便于全网络的自动配置和网络层次性管理。

3除了为IPv6主机分配IPv6地址/前缀外,还可以分配DNS服务器IPv6地址等网络配置参数

4、NAT转换设备安全防护

使用NAT的场景下,在NAT转换设备上配置了安全防护,抵御NAT相关攻击。按照NAT的具体工作方式,又可以做如下分类。

1应用层网关
应用层网关(ALG)是解决NAT对应用层协议无感知的一个最常用方法,已经被NAT设备厂商广泛采用,成为NAT设备的一个必需功能。

2探针技术STUN和TURN
所谓探针技术,是通过在所有参与通信的实体上安装探测插件,以检测网络中是否存在NAT网关,并对不同NAT模型实施不同穿越方法的一种技术。

3中间件技术

与ALG的不同在于,客户端会参与网关公网映射信息的维护,此时NAT网关只要理解客户端的请求并按照要求去分配转换表,不需要自己去分析客户端的应用层数据。

4中继代理技术
在NAT网关所在的位置旁边放置一个应用服务器,这个服务器在内部网络和外部公网分别有自己的网络连接。

5、NAT安全溯源

使用NAT的场景下,能够记录IPv6源地址,抵御IPv6攻击。某一时刻NAT地址池中特定合法IP的特定端口是哪个用户在使用的信息发送给日志服务器,由日志服务器保存一定时间,供相关部门查询。

6、IPv6相关的防火墙(含WAF)的安全防护

防火墙(含WAF)的配置,如防火墙的运行模式(过滤或NAT),防火墙的ACL级别(IP或端口),防火墙上可启用的额外功能(VPN、IDS、Web应用防护)的Web应用防火墙。

上一篇:一文读懂常见的HTTP状态码! 下一篇:IPv6转换过程中常见问题盘点