近幾年出口的軟硬件產(chǎn)品都已經(jīng)內(nèi)置了IPv6支持,,特別是大量的移動終端幾乎都已經(jīng)支持IPv6,,然而一向被認(rèn)為安全性較高的IPv6并不像傳 說中的那樣,甚至相反會嚴(yán)重挑戰(zhàn)現(xiàn)有的安全保護體系,。
下一代互聯(lián)網(wǎng)協(xié)議IPv6逐漸被商用企業(yè)采納,,管理機構(gòu)和運營商也開始規(guī)劃和測試工作,盡管遷移的路子仍然比較漫長,,但它也日益成為IT 基礎(chǔ)架構(gòu)人員的談資,。
近幾年出口的軟硬件產(chǎn)品都已經(jīng)內(nèi)置了IPv6支持,特別是大量的移動終端幾乎都已經(jīng)支持IPv6,,然而一向被認(rèn)為安全性較高的IPv6并不像傳 說中的那樣,,甚至相反會嚴(yán)重挑戰(zhàn)現(xiàn)有的安全保護體系。
首先,,IPv6的通道功能會影響現(xiàn)有的網(wǎng)絡(luò)訪問控制,,IPv4防火墻在針對IPv6流量的細力度控制上幾乎無力,基于協(xié)議和端口的動態(tài)包過濾對 于能夠靈活變化的通道也幾近失效,,不當(dāng)配置的企業(yè)網(wǎng)絡(luò)邊界控管措施在IPv6面前形同虛設(shè),。
其次,IPv6的加密通道及自動配置功能讓端到端的通訊更為便捷也更為危險,,還令傳統(tǒng)的基于特征檢測與分析的入侵檢測,、內(nèi)容過濾及監(jiān)控 審計系統(tǒng)失效。
最后,,基于IPv6的攻擊已經(jīng)開始現(xiàn)身,,分布式拒絕服務(wù)攻擊、網(wǎng)絡(luò)穿透攻擊,、IPv6加密蠕蟲等等開始零星出現(xiàn)于安全媒體,但卻沒有引起安 全界的重視,。
應(yīng)對這些挑戰(zhàn)并非難事,,首先,覺醒起來是最好的安全防線,加強IT及最終用戶關(guān)于IPv6的安全意識教育應(yīng)該被納入到安全管理的議事日程 ,;接著,,制定和設(shè)置嚴(yán)格的訪問控制策略,必要時實施白名單政策,;最后,,加強安全監(jiān)管,特別是針對加密安全通訊的監(jiān)管,,阻斷不必要的加密通訊宜早不宜晚,。
WOWO小結(jié):IPv4地址正在枯竭,,IPv6也隨著技術(shù)的催生來改善IP地址不夠分配的問題,,這無疑是項大舉措,它的部署以及切換越來越受到政 府和企業(yè)的重視,。技術(shù)催生的這一大工程意味著現(xiàn)有協(xié)議架構(gòu)的升級變革,,作為公司在遷移IPv6之前,,網(wǎng)絡(luò)管理員應(yīng)當(dāng)對網(wǎng)絡(luò)改造方案有基礎(chǔ)的了解,對網(wǎng)絡(luò)協(xié)議的過渡加強意識 ,,同時新的技術(shù)的采用,,安全問題應(yīng)當(dāng)被重視,例如,,在實施中是否有漏洞,,如何來糾正并成熟部署?
目前,,IPv6的安全評估工具還不多以來對網(wǎng)絡(luò)安全進行監(jiān)管和評估,,而且在 IPv6部署前應(yīng)考慮兼容企業(yè)安全設(shè)備和硬件,最重要的是,,那些采納了安全策略的眾多企業(yè),, 無論是邊界管控還是內(nèi)網(wǎng)管理,都需要讓安全策略適應(yīng)新的技術(shù)的改革需求,。
