IPv6转换服务有哪些防护措施?

2021-03-09 10:18:26
中科三方
文章摘要: IPv6相关的防火墙(含WAF)的安全防护:防火墙(含WAF)的配置,如防火墙的运行模式(过滤或NAT),防火墙的ACL级别(IP或端口),防火墙上可启用的额外功能(VPN、IDS、Web应用防护)的Web应用防火墙。

1、IPv6地址过滤:防火墙或路由器进行IPv6地址过滤配置,具备非法地址过滤条目(如多播地址,链路本地地址作为源地址的过滤条目),具备单播逆向(uRPF)过滤等功能,可抵御非法路由条目攻击。

2、路由协议安全防护:路由器、防火墙或三层交换机的路由配置,采用IPv6路由协议,如OSPFv3认证功能,OSPFv3主要用于在IPv6网络中提供路由功能,OSPFv3是基于OSPFv2上开发用于IPv6网络的路由协议。为适应IPv6运行环境,支持IPv6报文的转发,OSPFv3相对OSPFv2做出相关的改进,使得OSPFv3可以独立于网络层协议,并且其扩展性加强,可以满足未来的需求。

3、DHCPv6安全防护:DHCPv6的场景下,DHCPv6服务器或路由设备上配置DHCP安全防护,能防止非法DHCP用户攻击。与其他IPv6地址分配方式(手工配置、通过路由器通告消息中的网络前缀无状态自动配置等)相比,DHCPv6具有以下优点:

(1)更好地控制IPv6地址的分配。DHCPv6方式不仅可以记录为IPv6主机分配的地址,还可以为特定的IPv6主机分配特定的地址,以便于网络管理。

(2)DHCPv6支持为网络设备分配IPv6前缀,便于全网络的自动配置和网络层次性管理。

(3)除了为IPv6主机分配IPv6地址/前缀外,还可以分配DNS服务器IPv6地址等网络配置参数。

4、NAT转换设备安全防护:使用NAT的场景下,在NAT转换设备上配置了安全防护,抵御NAT相关攻击。按照NAT的具体工作方式,又可以做如下分类。

(1)应用层网关

应用层网关(ALG)是解决NAT对应用层协议无感知的一个最常用方法,已经被NAT设备厂商广泛采用,成为NAT设备的一个必需功能。

(2)探针技术STUN和TURN

所谓探针技术,是通过在所有参与通信的实体上安装探测插件,以检测网络中是否存在NAT网关,并对不同NAT模型实施不同穿越方法的一种技术。

(3)中间件技术

与ALG的不同在于,客户端会参与网关公网映射信息的维护,此时NAT网关只要理解客户端的请求并按照要求去分配转换表,不需要自己去分析客户端的应用层数据。

(4)中继代理技术

在NAT网关所在的位置旁边放置一个应用服务器,这个服务器在内部网络和外部公网分别有自己的网络连接。

5.NAT安全溯源:使用NAT的场景下,能够记录IPv6源地址,抵御IPv6攻击。将某一时刻NAT地址池中特定合法IP的特定端口是哪个用户在使用的信息发送给日志服务器,由日志服务器保存一定时间,供相关部门查询。

6、IPv6相关的防火墙(含WAF)的安全防护:防火墙(含WAF)的配置,如防火墙的运行模式(过滤或NAT),防火墙的ACL级别(IP或端口),防火墙上可启用的额外功能(VPN、IDS、Web应用防护)的Web应用防火墙。

信息化软件服务网 - 助力数字中国建设 | 责编:莎莉
文明上网,理性发言!请遵守新闻评论服务协议
评论