這裡我們介紹的是IPv6網路協議。這個協議是IPv4的升級版本。但是,目前網際網路整處在兩協議交接的過度階段,這也就引出了一個重要的問題——安全問題。在這個不穩定的時候,很容易會出現安全漏洞,那麼我們如何預防呢?
我們先來了解一下IPv6網路協議的一些基本知識。你可能知道推動IPv6協議應用的主要因素是什麼,我們的IP地址空間就要用完了!目前IPv4協議使用的32位地址方案只能容納43億個獨特的地址。雖然這個數量聽起來很多,但是,我們的地球有64億人口。每一個人還不能擁有一個IP地址。但是,有些人還不止需要一個IP地址,如工作地點和家庭之間的IP地址、IP功能的手機和其它網路裝置等。新興市場的科技爆炸式的增長,特別是在亞太地區,需要提供新的IP地址空間。IPv6協議使用128位定址技術解決了這個問題。IPv6網路協議允許的IP地址數量是3.4 x 10的38次方;這樣大的數量我們要很長時間才能用完。
雖然IPv6協議是一個具有安全功能的協議,但是,從IPv4向IPv6過渡會產生新的風險,並且削弱機構的安全策略。瞭解潛在的危害並且瞭解如何在安全的情況下實現順利的過渡。如果你還沒有考慮IPv6對你的網路安全的影響,現在是開始考慮的時候了!這種替代有漏洞的IPv4協議的IPv6目前正在網際網路上應用,而且甚至在你不知道的情況在已經存在於你的網路中了。
現在,讓我們看一下對我們的網路有影響的五個問題:
1.安全人員需要有關IPv6協議的教育和培訓。IPv6協議將在你的控制之下進入你的網路,這只是個時間問題。同許多新的網路技術一樣,學習IPv6的基礎知識是非常重要的,特別是學習定址方案和協議,以便適應事件的處理和相關的活動。
2.安全工具需要升級。IPv6不向下相容。用於整個網路的通訊路由和安全分析的硬體和軟體都要進行升級,以支援IPv6協議,否則這些硬體和軟體都不支援IPv6網路協議。當使用邊界保護裝置的時候,記住這一點是非常重要的。為了相容IPv6,路由器、防火牆和入侵檢測系統都需要軟體或者硬體升級。
3.現有的裝置需要額外設定。支援IPv6的裝置把它當成一個完全獨立的協議。因此,訪問控制列表、規則庫和其它設定引數要重新進行評估,並且要轉換為支援IPv6的環境。請與相關的廠商聯絡以取得具體的操作說明。
4.隧道協議產生新的風險。網路和安全團體已經耗費了很多時間和精力確保IPv6是一個具有安全功能的協議。然而,這種轉換的最大的.風險之一是使用隧道協議支援向IPv6的轉換。這些協議允許在IPv4資料流通過非相容裝置時把IPv6的通訊隔離開。因此,在你準備好正式支援IPv6之前,你的網路使用者可以使用這些隧道協議執行IPv6。如果這是一個令人擔心的問題,在你的邊界內封鎖IPv6隧道協議。
6自動設定可造成定址的複雜性。IPv6另一個有趣的功能是自動設定。自動設定功能允許系統自動獲得一個網路地址,而不需要管理員的干預。IPv6支援兩種不同的自動設定技術。監控狀態的自動設定使用DHCPv6,這是對目前的DHCP協議的簡單升級,從安全的角度看並沒有很大的不同。另外,關注一下非監控狀態的自動設定功能。這個技術允許系統產生自己的IP地址,並且檢查地址的重複性。從系統管理的角度說,這種非集中化的方式可能更容易一些,但是,對於跟蹤網路資源使用(或者濫用!)情況的網路管理員來說,這種做法提出了很大的難題。
正如你所說,IPv6是革命性的。IPv6網路協議允許我們為未來十年的無處不在的接入做好準備。但是,同其它的技術創新一樣,我們需要從安全的角度認真關注IPv6。
