中科三方——IPv6更新改造安全政策之多段式防護

“加強新型基礎設施建設，發展新一代資訊網絡”，辨別了國家網絡發展的風向标，如今國家正在積極發展下一代網際網路建設工作，IPv6端到端貫通能力提升專項行動也在如火如荼進行中。那麼對于更新後的IPv6位址，網絡系統相應的安全政策是否也要随之重新規劃更新？網絡安全仍然是網絡部署規劃工作中的焦點問題。

經典攻擊類型防護

如同IPv4一樣，IPv6同屬于OSI七層協定族中的一種網絡層協定。是以，沒有新的應用層、傳輸層、鍊路層或實體層漏洞被引入，但同時也并未被削減，是以對應IPv4安全政策中的以下攻擊類型，仍需繼續保留：

• 實體安全性和通路；
• 未經授權的網絡通路許可；
• 應用層，傳輸層，鍊路層或實體層攻擊；
• 中間人攻擊；
• 作業系統漏洞和攻擊；
• 流量嗅探；
• 拒絕服務攻擊（DoS）和分布式拒絕服務攻擊（DDoS）。

IPv6的獨特特性

然而對比IPv4，業界對IPv6安全缺乏經驗上的認識，使得上層攻擊者直接攻擊IPv6尋址比直接攻擊IPv4尋址更加有效。雖然部分基于IPv4的安全政策可以适用于IPv6，但是IPv6也引進了必須考慮的獨特特性，如：

• IPv4使用ARP來将IP位址關聯到鍊路層位址時，IPv6使用NDP——位址自動配置和重複位址檢測需要這個協定；
• IPv4支援廣播，而IPv6使用多點傳播作為代替；
• IPv4的分段是在路由器上進行的，而IPv6是在主機上進行分段；

一般來說，在IPv4中ICMP能夠被關閉。而在IPv6中，ICMP是一個必須協定，不能被完全關閉；

• IPv6協定棧軟體的不成熟有可能存在容易被攻擊的漏洞；
• IPv6擴充報頭的存在使得基本IPv6報頭很短小，但會導緻與報頭相關的攻擊等。

在了解了IPv6與IPv4在安全性方面的異同後，即可根據以往對IPv4部署的安全政策整理出IPv6的安全政策更新方案。

網絡邊界防護

首先，抵禦來自網際網路攻擊的第一道防線就是網絡邊界。類似IPv4位址過濾，為防止使用非法位址帶來的欺騙，應丢棄接收到的未配置設定的IPv6位址空間的資料報，并謹慎地考慮過濾處于邊界的ICMPv6資料報，拒絕錯誤消息類型進入。

内部網絡防護

其次，許多政策中通過建立一個強大的入侵檢測系統來保護内部網絡，但是在網絡内部建立第二道防線以防止有意或無意的内部攻擊也是必要的。當靜态配置IPv6位址或使用SLAAC時，DNS需要更新的位址範圍可能跨越整個網絡，這将使得DNS易收到有害更新的攻擊。是以，選擇一套安全的DNS解析服務對于優化網絡内部系統安全是極為有效的。

終端裝置防護

對于網絡和終端使用者裝置來說，最後一道防線當然是裝置自身的安全措施。如今，在IPv4中普遍使用的主機安全措施也同樣适用于IPv6，包括以下幾項：

• 實體安全控制，如網絡和應用的基礎設施；
• 安全通路，通過本地控制台，SSH或其他應用層網絡協定；
• 密碼管理政策；
• 終端使用者裝置安全政策和指令；
• 主機資料報過濾和防火牆。

在基礎設施、IP位址和網絡管理中，定義一種安全政策來支援IPv6實施是一個重要的規劃步驟。應根據計劃支援的IPv6功能，更新目前的IP安全政策，使這些政策與目前的安全基礎設施和系統一一對應。正所謂磨刀不誤砍柴工，發展網絡體系固然是時代背景下的浪潮所向，網絡安全政策的規劃一定要與網絡部署協同更新，進而實作先進而安全的網際網路絡體系的建立，為網絡強國戰略的實作添磚加瓦。