關(guān)于IPv6安全網(wǎng)絡(luò)的架構(gòu)分析問題

　　IPv6首先解決了IP地址數(shù)量短缺的問題，其次，對于IPv4協(xié)議中諸多不完善之處進(jìn)行了較大更改。其中最為顯著的就是將IPSec（IPSecurity）集成到協(xié)議內(nèi)部，從此IPSec將不單獨存在，而是作為IPv6協(xié)議固有的一部分貫穿于IPv6的各個部分。

　　IPv6的安全機(jī)制

　　IPv6的安全機(jī)制主要表現(xiàn)在以下幾個方面：（1）將原先獨立于IPv4協(xié)議族之外的報頭認(rèn)證和安全信息封裝作為IPv6的擴(kuò)展頭置于IPv6基本協(xié)議之中，為IPv6網(wǎng)絡(luò)實現(xiàn)全網(wǎng)安全認(rèn)證和加密封裝提供了協(xié)議上的保證。（2）地址解析放在ICMP （InternetControlMessageProtocol）層中，這使得其與ARP（Address Resolution Protocol）相比，與介質(zhì)的偶合性更小，而且可以使用標(biāo)準(zhǔn)的IP認(rèn)證等安全機(jī)制。（3）對于協(xié)議中的一些可能會給網(wǎng)絡(luò)帶來安全隱患的操作，IPv6 協(xié)議本身都做了較好的防護(hù)。例如：因為一條鏈路上多個接口同時啟動發(fā)送鄰居請求消息而帶來的鏈路擁塞隱患，IPv6采用在一定范圍內(nèi)的隨機(jī)延時發(fā)送方法來減輕鏈路產(chǎn)生擁塞的可能，這同時也減少了多個節(jié)點在同一時間競爭同一個地址的可能。（4）除了IPSec和IPv6本身對安全所做的措施之外，其他的安全防護(hù)機(jī)制在IPv6上仍然有效。諸如：NAT-PT（Net Address Translate- Protocol Translate）可以提供和IPv4中的NAT相同的防護(hù)功能；通過擴(kuò)展的ACL（Access Control List）在IPv6上可以實現(xiàn)IPv4 ACL所提供的所有安全防護(hù)。另外，基于VPLS（Virtual Private LAN Segment）、VPWS（Virtual Private Wire Service）的安全隧道和VPN（Virtual Private Network）等技術(shù)，在IPv6上也可以完全實現(xiàn)。

當(dāng)然IPSec的大規(guī)模使用不可避免地會對網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能產(chǎn)生影響，因此，需要更高性能的硬件加以保障�？偟膩碚f，IPv6極大地改善了網(wǎng)絡(luò)安全現(xiàn)狀。

　　IPv6安全網(wǎng)絡(luò)的架構(gòu)

　　IPv6網(wǎng)絡(luò)的安全性主要通過3個層面實現(xiàn)：協(xié)議安全、網(wǎng)絡(luò)安全和安全加密的硬件。下面以中興通訊公司的IPv6路由器ZXR10系列為例，介紹如何在這3個層面實現(xiàn)IPv6網(wǎng)絡(luò)的安全性。

　　協(xié)議安全

　　IPv6的AH（AuthenticationHeader）和ESP（EncapsulatingSecurity Payload）中的擴(kuò)展頭結(jié)合多樣的加密算法可以在協(xié)議層面提供安全保證。如圖1所示的實際組網(wǎng)方案，對路由協(xié)議報文采用了ESP加密封裝，對于 IPv6的鄰居發(fā)現(xiàn)、無狀態(tài)地址配置等協(xié)議報文采用AH認(rèn)證來保證協(xié)議交互的安全性。在AH認(rèn)證方面，可以采用hmac_md5_96、 hmac_sha_1_96等認(rèn)證加密算法；在ESP封裝方面，經(jīng)常采用的算法有3種：DES_CBC、3DES_CBC及Null 。

　　鑒于目前的網(wǎng)絡(luò)環(huán)境，在實現(xiàn)上，默認(rèn)手工提供密鑰配置管理的方式。但為適應(yīng)將來大規(guī)模安全網(wǎng)絡(luò)組建要求，還要同時預(yù)留IKE（Internet密鑰交換）協(xié)議接口。圖1的路由器系統(tǒng)缺省對IPv6的PMTU（路徑最大傳輸單元）、無狀態(tài)地址自動配置以及鄰居發(fā)現(xiàn)協(xié)議中的消息進(jìn)行AH頭認(rèn)證�？膳渲檬褂� ESP封裝或者AH認(rèn)證來保證路由協(xié)議報文的安全。

　　在傳輸模式下，路由器對于報文的加密和認(rèn)證可以有基于協(xié)議、源端口和源地址、目的端口和目的地址等多種模式。用戶可以通過管理模塊靈活地進(jìn)行配置。

　　網(wǎng)絡(luò)安全

　　IPSec隧道和傳輸模式的各種組合應(yīng)用，可以提供網(wǎng)絡(luò)各層面的安全保證。諸如：端到端的安全保證、內(nèi)部網(wǎng)絡(luò)的保密、通過安全隧道構(gòu)建安全的VPN、通過嵌套隧道實現(xiàn)不同級別的網(wǎng)絡(luò)安全等等。

　　端到端的安全保證

　　如圖2所示，在兩端主機(jī)上對報文進(jìn)行IPSec封裝，中間路由器實現(xiàn)對有IPSec擴(kuò)展頭的IPv6報文的透傳，從而實現(xiàn)端到端的安全保證。

　　內(nèi)部網(wǎng)絡(luò)保密

　　圖3所示的內(nèi)部主機(jī)和互聯(lián)網(wǎng)上其他主機(jī)進(jìn)行通信時，通過配置IPSec網(wǎng)關(guān)來保證內(nèi)部網(wǎng)絡(luò)的安全。由于IPSec作為IPv6擴(kuò)展報頭不能被中間路由器而只能被目的節(jié)點解析處理，因此，IPSec網(wǎng)關(guān)可以通過IPSec隧道的方式實現(xiàn)，或者通過IPv6擴(kuò)展頭中提供的路由頭和逐跳選項頭并結(jié)合應(yīng)用層網(wǎng)關(guān)技術(shù)來實現(xiàn)。其中后者實現(xiàn)方式更加靈活，有利于提供完善的內(nèi)部網(wǎng)絡(luò)安全，但是比較復(fù)雜。

　　IPSec安全隧道實現(xiàn)VPN

　　如圖4所示，在路由器之間建立IPSec安全隧道，構(gòu)成安全的VPN，是最常用的安全網(wǎng)絡(luò)組建方式。作為IPSec網(wǎng)關(guān)的路由器實際上就是IPSec隧道的終點和起點。為了滿足轉(zhuǎn)發(fā)性能的要求，需要專用的加密板卡。

　　隧道嵌套提供多重安全保護(hù)

　　如圖5所示，通過隧道嵌套的方式可以獲得多重的安全保護(hù)。

　　配置了IPSec的主機(jī)HostC通過安全隧道接入到配置了IPSec網(wǎng)關(guān)的路由器ZXR10T128A。該路由器作為外部隧道的終結(jié)點將外部隧道封裝剝除，這時嵌套的內(nèi)部安全隧道構(gòu)成了對內(nèi)部網(wǎng)絡(luò)的安全隔離。ZXR10 GAR B作為內(nèi)部隧道的終結(jié)點，使得Host C最終接入到部門服務(wù)器Host D中。

　　確保高性能轉(zhuǎn)發(fā)的安全加密硬件

　　大量使用IPSec在提高網(wǎng)絡(luò)安全的同時，不可避免地導(dǎo)致路由器轉(zhuǎn)發(fā)性能和處理性能的劣化。

　　為了消除這些影響，通常使用ASIC（專用集成電路）實現(xiàn)加密處理，或者通過網(wǎng)絡(luò)處理器來實現(xiàn)加密處理和轉(zhuǎn)發(fā)。以中興通訊的高端路由器為例，對報文的加密和轉(zhuǎn)發(fā)使用專門的網(wǎng)絡(luò)數(shù)據(jù)加密接口板，該板由安全處理器和CPLD（可編程邏輯器件）構(gòu)成主要處理單元。其中，安全處理器完成所要求的IPSec功能，包括對數(shù)據(jù)進(jìn)行加/解密、認(rèn)證、數(shù)字簽名等；支持DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）、3DES、AES（先進(jìn)加密標(biāo)準(zhǔn)）等通用加密算法；支持MD5 （MessageDigestAlgorithm5）、SHA（Secure Hash Algorithm）等散列算法；支持RSA（Rivest Shamir Adleman）簽名。性能達(dá)到IPSec加密速度（以3DES+MD5/SHA1計）不低于200Mbit/s，簽名速度不低于60次/s。

　　其他安全措施

　　IPSec提供了網(wǎng)絡(luò)數(shù)據(jù)和信息內(nèi)容的有效性、一致性以及完整性的保證，但是，網(wǎng)絡(luò)受到的安全威脅是來自多層面的，包括物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層等各個部分。

　　通常，物理層的威脅來自于設(shè)備的不可靠性，諸如板卡的損壞、物理接口的電器特性和電磁兼容環(huán)境的劣化等。對這樣的安全隱患，可以通過配置冗余設(shè)備、冗余線路、安全供電、保障電磁兼容環(huán)境以及加強安全管理來防護(hù)。

　　在物理層以上層面，存在的安全隱患主要有來自于針對各種協(xié)議的安全威脅，以及意在非法占用網(wǎng)絡(luò)資源或者耗盡網(wǎng)絡(luò)資源的安全隱患，諸如雙802.1Q封裝攻擊、廣播包攻擊、MAC洪泛、生成樹攻擊等二層攻擊，以及虛假的ICMP報文、ICMP洪泛、源地址欺騙、路由振蕩等針對三層協(xié)議的攻擊。

　　在應(yīng)用層，主要有針對HTTP、FTP/TFTP、TELNET以及通過電子郵件傳播病毒的攻擊。對于這些攻擊，可以采用的防護(hù)手段包括：通過AAA、 TACACS+、RADIUS等安全訪問控制協(xié)議，控制用戶對網(wǎng)絡(luò)的訪問權(quán)限，防患針對應(yīng)用層的攻擊；通過MAC地址和IP地址綁定、限制每端口的MAC 地址使用數(shù)量、設(shè)立每端口廣播包流量門限、使用基于端口和VLAN的ACL、建立安全用戶隧道等來防范針對二層的攻擊；通過路由過濾、對路由信息的加密和認(rèn)證、定向組播控制、提高路由收斂速度以減輕路由振蕩影響等措施，來加強三層網(wǎng)絡(luò)的安全性。

　　綜上所述，安全的網(wǎng)絡(luò)是眾多安全技術(shù)的綜合，而IPv6IPSec機(jī)制是其中重要的組成部分，提供了協(xié)議層面上的一致性解決方案，這也是IPv6相比IPv4的重大優(yōu)越性。

　　同時，為了構(gòu)建安全網(wǎng)絡(luò)，還應(yīng)該采取其他安全措施。（1）結(jié)合AAA認(rèn)證、NAT-PT、二/三層MPLSVPN、基于ACL標(biāo)準(zhǔn)的訪問列表和靜態(tài)擴(kuò)展訪問列表、防分片包攻擊等來實現(xiàn)安全預(yù)防。（2）通過路由過濾、靜態(tài)路由、策略路由和路由負(fù)荷分擔(dān)來實現(xiàn)安全路由。（3）通過SSHv2 （SecureShell第2版）、SNMPV3（簡單網(wǎng)絡(luò)管理協(xié)議第3版）、EXC，提供進(jìn)程訪問安全、線路訪問安全。（4）通過分級管理、定制特權(quán)級管理等手段來實現(xiàn)網(wǎng)絡(luò)的安全管理。（5）通過完善的告警、日志和審計功能實現(xiàn)網(wǎng)絡(luò)時鐘的安全。（6）提供訪問列表和關(guān)鍵事件的日志、路由協(xié)議事件和錯誤記錄等，供網(wǎng)絡(luò)管理人員進(jìn)行故障分析、定位和統(tǒng)計。

作者：Jerry 來源：賽迪論壇