IPv6是下一代的因特网协议,因为使用的IPv4协议越来越不够用,所以开发了IPv6,保证IP地址足够使用。今天小编要给大家分享一篇教程,那就是:详细分析IPv6安全机制的基础理论。
相信大家都应该知道IPv6作为下一代网络的基础,以它鲜明的技术优势得到各位广泛的认可。IPv6不仅仅解决了IPv4地址日渐枯竭的问题,同一时间IPv6安全机制也相对于IPv4来说的话,也进行了非常多的改进。但是与此同一时间IPv6针对于硬件性能也有了一个更加高的要求。
一、IPv6协议安全
在协议安全层面上说的话,IPv6安全机制全面支持认证头(也就是AH)认证以及封装安全有效负荷(ESP)信息安全封装扩展头。IPsec封装安全负载(IPsecESP)是IPsec体系结构中的一种主要协议,其主要设计来在IPv4和IPv6中提供安全服务的混合应用。AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法,另外一个方面,ESP封装支持DES_CBC、3DES_CBC以及Null等等三种算法。
二、IPv6网络安全
1、对内部网络的保密
当内部主机与因特网上面其他主机进行通信的时候,为了可以保证内部网络的安全,能够直接通过配置的IPSec网关实现。它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。在通信中,只有发送方和接收方才是唯一必须了解IPSec保护的计算机。
正正就是因为IPSec作为IPv6的扩展报头不可以直接被中间路由器,然而仅仅只可以被目的节点解析处理,因此IPSec网关能够直接通过IPSec隧道的方式实现,另外一个方面也能够直接通过IPv6扩展头里面提供的路由头以及逐跳选项头这两者结合应用层网关技术来实现目的。相对来说,就小编个人认为后者的实现方式会更加灵活,这一种实现方式更加的有利于提供完善的内部网络安全,但是就会比较复杂一点。
2、端到端的安全保证
在两端主机上面对报文进行IPSec封装,中间路由器实现对有IPSec扩展头的IPv6报文进行透传,这样子的话就可以实现端到端的安全。
3、通过隧道嵌套实现网络安全
通过隧道嵌套着一种方式的话,就能够直接获取得到多重的安全保护。当配置了IPSec的主机通过安全隧道接入到配置了IPSee网关的路由器,并且这一个路由器作为外部隧道的终结点将外部隧道封装剥除的时候,嵌套的内部安全隧道就会构成了对内部网络的安全隔离。
4、通过安全隧道构建安全的VPN
最后小编要为大家介绍的是通过安全隧道构建安全的VPN,在这里的VPN主要是通过IPv6的IPSec隧道实现的。在路由器之间建立IPSec的安全隧道,从而构成安全的VPN,这是最常用的一种安全网络组建方式。IPSec网关的路由器事实上就是IPSec隧道的终点以及起点,为了能够满足转发性能的要求,这一个路由器需要一个专用的加密板卡。
三、IPv6安全机制其他保障
IPSec为网络数据和信息内容的有效性、一致性以及完整性这三者都提供了保证,但是大家都应该知道数据网络的安全威胁是多层面的,它们分别分布在物理层、网络层(网络层的目的是实现两个端系统之间的数据透明传送,具体功能包括寻址和路由选择、连接的建立、保持和终止等)、数据链路层、传输层以及应用层等等各个部分。
对于物理层的安全隐患,大家能够直接通过配置冗余线路、冗余设备、安全供电、保障电磁兼容环境以及加强安全管理来进行防护的。对于物理层以上层面的安全隐患,大家也能够直接采用下面的防护手段,具体的手段如下所示:
通过就比如说:TACACS+、AAA、RADIUS等等安全访问控制协议控制用户对网络的访问权限来防止针对应用层的攻击;通过MAC地址以及IP地址绑定、设立每端口广播包流量门限、限制每端口的MAC地址(意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置)使用数量、使用基于端口以及VLAN的ACL、建立安全用户隧道等等来防范针对二层网络的攻击;通过进行路由过滤、定向组播控制、提高路由收敛速度、对路由信息的加密以及认证、减轻路由振荡的影响等等措施来加强三层网络的安全性。路由器以及交换机这两者对IPSec的完善支持保证了网络数据以及信息内容的有效性、一致性以及完整性,另外一个方面还为网络安全提供了诸多的解决办法。
小编结语:
通过这篇考试认证教程,不知道大家是否已经认识了IPv6安全机制的基础理论呢?在这篇教程里面,主要就是向大家介绍一下IPv6安全机制希望这对大家有所帮助。