ipv4升级到ipv6可能大家很清楚了
可是从IPv4到IPv6的过渡势必会迫使许多企业重新思考他们对于网络所做的安全措施。其结果将是,从得到确定的安全证实之前认定所有进入的信息流量均不安全这种做法,趋向一种"偏执的开放性"策略。
这就是Cisco著名的工程师Eric Vyncke的观点。在上个月于伦敦举行的RSA大会上,他指出只有当企业对于流入的信息流量更为开放,他们才能从IPv6中最终获益。
许多企业可能会考虑延迟加入下一代IPv6互联网协议的时间,因为第一个吃螃蟹的人总是得不到什么利益安全策略,IPv6。
但是,停留于IPv4免费的IP地址中高枕无忧的日子最终还是会走到头的。届时,所有人都将步入到IPv6的世界中去,它将提供128位地址(取代IPv4的32位地址),其结果是惊人的2 ^128 个不同的可用IP地址。这个数字足以为地球表面的每个原子分配一个唯一的IP地址,更不用说让每台连接到网络的办事器、台式电脑、笔记本、智能手机、网络摄像头和任何其它连接到企业网络中的设置装备摆设享受一个单独的IP地址了。这是因为默认的IPv6子网络拥有2^64的IP地址,所以即就是以10Mpps的速度,一个黑客也需要花上五万年的时间来完成整个网络扫描(Nmap乃至可能不能支持IPv6上的扫描)。
NAPT的安全利益
在考虑它的安全含义以前,让我们先来看看IPv4中网络安全措施的关键部分。通常,一个企业在它内部的局域网(LAN)中会有一系列呆板,所有这些呆板都设有本地的IP地址。它们位于防火墙之后,并且共享有限的几个使用网络地址转换(NAT)的公共IP地址,大概更准确地说,使用网络地址端口转换(NAPT)。一旦电脑遭到恶意软件的粉碎,那么攻击者就很容易使用网络侦查工具(比如Nmap)从内部浏览你的网络了。
NAPT的利益在于它能够为所有在公司局域网内的设置装备摆设提供足够多的私人IP地址,同时能够保证这些设置装备摆设的安全。这是因为在局域网中的设置装备摆设的地址都不能被任何防火墙之外的人篡改。此外,因为在防火墙内的每台设置装备摆设对于外部攻击者来说都"不可见",所以想要袭击他们并不容易。攻击者只有通过内部网络才可以进行网络扫描,然后基于其拓扑架构和潜在的攻击弱点形成一个入侵想法。
不论如何,这些都是传统的思维,但是NAPT真的能够提供足够的安全吗?不可否认,它的确可以阻止来自外部的连接尝试,但是也无异于一个状态性防火墙。任何环境下,都有措施可以绕过NAPT然后通过私人IP地址登岸呆板,比方,像Skype那样使用反向隧道工具。
3.检查出站信息流量,允许返回流量匹配条件,但是仅仅是在它已经通过了IPS,以检测用户无意间带入的任何僵尸网络流量大概恶意软件(也可能是因为钓鱼攻击引发)。
1.通过采纳单一地址反向传输路径转发来拒绝所有拥有含糊源地址的数据包。
2.阻止一切来自于低信誉IPv6地址的信息流量。
就掩藏位于防火墙之后的网络拓扑结构而言,类似于计数ID领域、TCP协议的时间戳机制大概电子邮件RC 822都可以帮助攻击者看清你的网络设置,Vyncke补充说安全策略,IPv6。
4.允许入站网络流量进入在公共DNS中拥有AAAA记录的地址安全策略,IPv6。
5.如果某个内部地址从来没有发送过任何来自企业外部的信息,阻止一切信息流量进入该内部地址。这是为了保护内部设置装备摆设比如打印机不被外部访问。
6.拦截所有入站SSL/TLS信息流量,用自署名的证书来对它进行解密,在允许它们进入之前对它们进行检查。
7.在通过IPS之后,默认允许所有其它入站信息流量,但是要对它们的速率进行限制,以此来以免设置装备摆设超载。
对于许多企业而言,Vyncke的建议可能有些过于激进,在IPv6式的点到点连接的利益被证实之前尤为如此。但是不要忘记,企业之所以能够乐意面对将局域网连入互联网的风险,唯一的缘故原由就是这么做所带来的利益值得他们去冒这个风险。
相关视频
相关阅读 win8本地安全策略常见问题解答企业信息安全策略WORM_DOWNAD详解数据安全之SQL数据库服务器的安全策略保证服务器安全 安全策略是关键windows安全策略防病毒忠告命令行模式改变本地安全策略编写PHP的安全策略教你XP系统中的八大安全策略
热门文章 小米路由器设置教程附共享有线路由后再接无TP-link无线路由器设置D-Link DI-524M路由器
最新文章
百度网盘解除黑名单摆百度不收录怎么办 百度
10款免费开源图表插件推荐ssid隐藏了怎么办?隐藏SSID的无线网络如何OneDNS设置教程两块网卡访问不同网络案例分享
人气排行 宽带连接图标不见了怎么办 宽带连接图标怎么dell 服务器开机总是提示按F1才能进系统解决dns是什么?dns怎么设置?buffalo无线路由器设置图文教程哪种WIFI无线各种加密方式更安全?ADSL宽带连接错误(720)及解决方法双网卡同时上内外网设置教程公司网络综合布线图解
查看所有1条评论>>