《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > IPv6的接入層安全技術(shù)
IPv6的接入層安全技術(shù)
摘要: 在IPv6網(wǎng)絡(luò)中,由于使用ND協(xié)議代替了IPv4中的ARP協(xié)議,以及對(duì)用戶的身份認(rèn)證方面需要針對(duì)用戶的IPv6地址進(jìn)行處理,所以在IPv6的接入層安全技術(shù)相比在IPv4網(wǎng)絡(luò)中,必須進(jìn)行更新,使之能夠滿足在IPv6網(wǎng)絡(luò)中使用的要求。并且,IPv6的接入層安全技術(shù)應(yīng)能夠與IPv4的接入層安全技術(shù)共存,滿足在IPv6/IPv4雙棧網(wǎng)絡(luò)中的要求。
Abstract:
Key words :

IPv6" title="IPv6">IPv6網(wǎng)絡(luò)中,由于使用ND協(xié)議" title="ND協(xié)議">ND協(xié)議代替了IPv4中的ARP協(xié)議" title="ARP協(xié)議">ARP協(xié)議,以及對(duì)用戶的身份認(rèn)證方面需要針對(duì)用戶的IPv6地址進(jìn)行處理,所以在IPv6的接入層安全技術(shù)相比在IPv4網(wǎng)絡(luò)中,必須進(jìn)行更新,使之能夠滿足在IPv6網(wǎng)絡(luò)中使用的要求。并且,IPv6的接入層安全技術(shù)應(yīng)能夠與IPv4的接入層安全技術(shù)共存,滿足在IPv6/IPv4雙棧網(wǎng)絡(luò)中的要求。
在園區(qū)網(wǎng)部署中,接入層的安全防護(hù)問題是一項(xiàng)很重要的部署考慮,在該問題上,主要考慮協(xié)議安全及用戶身份安全兩個(gè)部分。

協(xié)議安全:使用IPv4的園區(qū)網(wǎng)進(jìn)行部署的時(shí)候,必須考慮ARP攻擊的問題,防止網(wǎng)絡(luò)中出現(xiàn)ARP欺騙及ARP泛洪帶來(lái)的網(wǎng)絡(luò)性能及可靠性問題。在部署IPv6后,要考慮使用ND協(xié)議帶來(lái)的接入層安全風(fēng)險(xiǎn)。

用戶身份安全:采用802.1X認(rèn)證,確保接入網(wǎng)絡(luò)的用戶身份的可靠性,在部署了IPv6的網(wǎng)絡(luò)中,為了確認(rèn)接入用戶的身份信息,同樣需要進(jìn)行用戶身份認(rèn)證。同時(shí),為了后續(xù)對(duì)用戶的接入信息進(jìn)行綁定或?qū)徲?jì)等操作,認(rèn)證客戶端需要收集能夠標(biāo)識(shí)用戶身份的信息,包括用戶的登錄名,IP地址等內(nèi)容,上傳到認(rèn)證服務(wù)器。

一、ND協(xié)議安全

在IPv4網(wǎng)絡(luò)中,針對(duì)ARP攻擊問題,大部分的網(wǎng)絡(luò)設(shè)備廠商都推出了各自的ARP防攻擊解決方案,在很大程度上解決了ARP攻擊的問題。伴隨著IPv6網(wǎng)絡(luò)的建設(shè),在IPv6協(xié)議族中的NDP協(xié)議越來(lái)越被重視,而在ND協(xié)議的設(shè)計(jì)與ARP協(xié)議一樣并未提供認(rèn)證機(jī)制,導(dǎo)致網(wǎng)絡(luò)中的主機(jī)是不可信的,從而使得針對(duì)ND協(xié)議的攻擊非常容易。

1. ND協(xié)議的功能介紹

ND協(xié)議,全稱為鄰居發(fā)現(xiàn)協(xié)議(Neighbor Discovery Protocol),是IPv6的關(guān)鍵協(xié)議之一,可以說,ND協(xié)議是IPv4某些協(xié)議在IPv6中綜合起來(lái)的升級(jí)和改進(jìn),如ARP、ICMP路由器發(fā)現(xiàn)和ICMP重定向等協(xié)議。當(dāng)然,作為IPv6的基礎(chǔ)性協(xié)議,ND還提供了其他功能,如前綴發(fā)現(xiàn)、鄰居不可達(dá)檢測(cè)、重復(fù)地址檢測(cè)、地址自動(dòng)配置等。

1) ND協(xié)議的主要報(bào)文類型ND協(xié)議定義的報(bào)文使用ICMP承載,其類型包括:路由器請(qǐng)求報(bào)文、路由器通告報(bào)文、鄰居請(qǐng)求報(bào)文、鄰居通告報(bào)文和重定向報(bào)文。在本文中,我們主要關(guān)注ND協(xié)議發(fā)生攻擊的情況,對(duì)ND的報(bào)文種類只做簡(jiǎn)要描述:

●路由器請(qǐng)求(RS):主機(jī)啟動(dòng)后,通過RS消息向路由器發(fā)出請(qǐng)求,期望路由器立即發(fā)送RA消息響應(yīng)。從而獲取網(wǎng)絡(luò)中的配置信息,包括網(wǎng)關(guān)地址,網(wǎng)絡(luò)前綴,鏈路MTU等信息。

● 路由器通告(RA):RA報(bào)文用于對(duì)RS報(bào)文進(jìn)行回應(yīng)。網(wǎng)關(guān)也可以通過周期性的在鏈路范圍內(nèi)組播RA報(bào)文,是同一鏈路范圍內(nèi)的主機(jī)獲取相同的網(wǎng)絡(luò)配置信息。這些配置信息包括:主機(jī)的地址獲取方式;網(wǎng)絡(luò)中的前綴信息;網(wǎng)絡(luò)中的PMTU信息;網(wǎng)絡(luò)中的網(wǎng)關(guān)信息等。

●鄰居請(qǐng)求報(bào)文(NS):NS消息與NA消息配合實(shí)現(xiàn)鄰居的鏈路層地址獲取、檢查鄰居是否可達(dá)、重復(fù)地址檢測(cè)等功能。

●鄰居通告報(bào)文(NA):NA報(bào)文是主機(jī)對(duì)NS的響應(yīng)報(bào)文,同時(shí)主機(jī)在鏈路層地址變化時(shí)也可以主動(dòng)發(fā)送NA消息,以通知相鄰節(jié)點(diǎn)自己的鏈路層地址或者角色發(fā)生改變。

2) ND協(xié)議主要功能介紹ND協(xié)議中,主要新增加了RA,RS兩種報(bào)文,這兩種報(bào)文的增加,使得在主機(jī)側(cè)能夠通過接收RA報(bào)文,獲取網(wǎng)絡(luò)中的配置參數(shù),更加方便的進(jìn)行網(wǎng)絡(luò)的部署和管理。在地址解析,重復(fù)地址檢查等功能上,ND協(xié)議與ARP協(xié)議沒有過多的區(qū)別。

●路由器發(fā)現(xiàn)

路由器發(fā)現(xiàn)是指主機(jī)怎樣定位本地鏈路上路由器和確定其配置信息的過程,主要包含查詢?nèi)笔【W(wǎng)關(guān)、前綴發(fā)現(xiàn)及參數(shù)發(fā)現(xiàn)三方面的內(nèi)容。

●地址解析

地址解析是指某節(jié)點(diǎn)在知道目的節(jié)點(diǎn)IP地址的情況下,確定目的鏈路層地址的過程。

當(dāng)一個(gè)節(jié)點(diǎn)需要得到同一本地鏈路上另外一個(gè)節(jié)點(diǎn)的鏈路層地址時(shí),需要進(jìn)行地址解析,該機(jī)制類似于IPv4中的ARP。 ND協(xié)議用NS和NA報(bào)文完成IPv6地址到鏈路層地址的解析,解析后的鏈路層地址和IP地址等信息用來(lái)建立節(jié)點(diǎn)的一個(gè)鄰居緩存表項(xiàng)。

●鄰居不可達(dá)檢測(cè)

鄰居不可達(dá)檢測(cè)是節(jié)點(diǎn)如何確定鄰居不可達(dá)狀態(tài)的過程。

ND協(xié)議用NS和NA報(bào)文來(lái)驗(yàn)證鄰居節(jié)點(diǎn)的可達(dá)性。節(jié)點(diǎn)在確定鄰居的鏈路層地址后,跟蹤?quán)従泳彺姹淼臓顟B(tài),定時(shí)發(fā)送NS報(bào)文,如果鄰居在規(guī)定的可達(dá)時(shí)間內(nèi)(缺省值為30秒)不能接收或者發(fā)送返回的報(bào)文,則刪除此鄰居緩存表項(xiàng)。

鄰居的可達(dá)性并不能說明端到端的可達(dá)性。因?yàn)橄噜徆?jié)點(diǎn)可能是主機(jī)或者路由器,所以相鄰節(jié)點(diǎn)并不一定就是數(shù)據(jù)包的最終目標(biāo)。NUD檢測(cè)僅僅驗(yàn)證了到目標(biāo)路徑上第一跳的可達(dá)性狀態(tài)。

●重復(fù)地址檢測(cè)

重復(fù)地址檢測(cè)是節(jié)點(diǎn)確定即將使用的地址是否被另一節(jié)點(diǎn)使用的過程。

在節(jié)點(diǎn)自動(dòng)配置某個(gè)接口的IPv6單播地址之前,必須在本地鏈路范圍內(nèi)驗(yàn)證要使用的臨時(shí)地址是唯一的,并且未被其他節(jié)點(diǎn)使用過。

只要NS報(bào)文發(fā)送到本地鏈路上(缺省發(fā)送一次NS報(bào)文),如果在規(guī)定時(shí)間內(nèi)沒有NA報(bào)文進(jìn)行應(yīng)答,則認(rèn)為這個(gè)臨時(shí)單播地址在本地鏈路上是唯一的,可以分配給接口;反之,這個(gè)臨時(shí)地址是重復(fù)的,不能使用此地址。

2. ND常見攻擊介紹

由于ND協(xié)議擴(kuò)展了ARP協(xié)議的功能,而沒有對(duì)其進(jìn)行安全性的擴(kuò)展,所以在IPv6的網(wǎng)絡(luò)中,ND協(xié)議仍然面臨原有ARP協(xié)議的風(fēng)險(xiǎn),同時(shí),在ND協(xié)議中新增的RA,RS報(bào)文,雖然簡(jiǎn)化了網(wǎng)絡(luò)管理的工作,但引入了新的風(fēng)險(xiǎn)。

在IPv6的接入層ND防攻擊中,除了要關(guān)注同ARP共有的地址欺騙攻擊及DAD攻擊外,特別需要關(guān)注針對(duì)RA的攻擊。

1) 地址欺騙攻擊地址欺騙攻擊與IPv4中ARP攻擊的方式類似,攻擊者可以使用RS/NS/NA報(bào)文來(lái)修改受害主機(jī)或網(wǎng)關(guān)上受害主機(jī)的MAC地址,造成受害主機(jī)無(wú)法與網(wǎng)絡(luò)進(jìn)行正常的通信
 



圖1 RS/NS/NA仿冒攻擊示意圖

 如圖1所示,攻擊者能夠偽造NS/NA報(bào)文,發(fā)送給網(wǎng)關(guān)或受害主機(jī),通過這種方式來(lái)對(duì)網(wǎng)關(guān)上受害主機(jī)的MAC地址或受害主機(jī)上的特定的MAC地址進(jìn)行修改,造成了受害用戶無(wú)法接收到正常的數(shù)據(jù)報(bào)文。

另外,攻擊者B能夠利用虛假的NA/RS/NS報(bào)文,對(duì)正常用戶及網(wǎng)關(guān)中的ND緩存進(jìn)行改寫,造成正常用戶之間無(wú)法互訪及網(wǎng)關(guān)無(wú)法向正確的用戶專發(fā)報(bào)文等一系列的網(wǎng)絡(luò)故障。

2) DAD攻擊當(dāng)受害主機(jī)進(jìn)行DAD查詢的時(shí)候,攻擊者通過NS或NA報(bào)文進(jìn)行干擾,使得受害主機(jī)的DAD過程失敗,無(wú)法獲取到IP地址,這種攻擊的概率和NS/NA的欺騙攻擊相比,相對(duì)較少。

圖2 DAD攻擊示意圖
如圖2所示,在受害者進(jìn)行DAD檢測(cè)時(shí),攻擊者可以偽造NS報(bào)文,與受害者產(chǎn)生沖突,也可以偽造NA報(bào)文,應(yīng)答受害者的NS報(bào)文。這兩種情況,受害主機(jī)都無(wú)法獲取地址,進(jìn)行正常的網(wǎng)絡(luò)通信。
3) RA攻擊RA能夠攜帶很多網(wǎng)絡(luò)配置信息,包括默認(rèn)路由器,網(wǎng)絡(luò)前綴列表,是否使用DHCP服務(wù)器進(jìn)行有狀態(tài)地址分配等網(wǎng)絡(luò)配置的關(guān)鍵信息。如果受害者接收了虛假的RA信息,會(huì)造成網(wǎng)絡(luò)配置錯(cuò)誤,從而引發(fā)欺騙攻擊。
圖3 RA攻擊示意圖
如圖3所示,攻擊者發(fā)送偽造的RA報(bào)文,其中可以造成多種攻擊:
偽造不存在的前綴,修改受害主機(jī)的路由表。
偽造網(wǎng)關(guān)的MAC及l(fā)ifetime,造成受害主機(jī)的默認(rèn)網(wǎng)關(guān)改變。
偽造DHCP服務(wù)器,同時(shí)偽造RA中的M bit,造成受害主機(jī)使用DHCP服務(wù)器分配到虛假的地址。
4) 針對(duì)網(wǎng)關(guān)的泛洪攻擊通過發(fā)送大量的NS/RS報(bào)文,造成網(wǎng)關(guān)的表項(xiàng)溢出。
圖4 泛洪攻擊示意圖
攻擊者通過偽造大量的NS/RS報(bào)文,發(fā)送給網(wǎng)關(guān),使得網(wǎng)關(guān)的表項(xiàng)溢出,造成網(wǎng)關(guān)無(wú)法提供正常的服務(wù)。
3. ND防攻擊解決方案
通過對(duì)上述的ND攻擊類型的介紹分析,我們可以發(fā)現(xiàn)當(dāng)前ND攻擊防御的關(guān)鍵所在:如何獲取到合法用戶和網(wǎng)關(guān)的IPv6地址-MAC對(duì)應(yīng)關(guān)系,并如何利用該對(duì)應(yīng)關(guān)系對(duì)ND報(bào)文進(jìn)行檢查,過濾掉非法ND報(bào)文。針對(duì)該類攻擊,H3C公司解決這一關(guān)鍵問題的思路是,通過自動(dòng)的ND 監(jiān)控模式、DHCP監(jiān)控模式與手工配置的方式,獲取到合法用戶的IP-MAC對(duì)應(yīng)關(guān)系。再配合RA trust與DHCP trust對(duì)RA報(bào)文與DHCP報(bào)文進(jìn)行限制,從而解決不同環(huán)境下的ND防攻擊問題。
同時(shí),為了避免網(wǎng)關(guān)的ND表項(xiàng)被異常的ND報(bào)文打滿溢出造成DoS攻擊,在網(wǎng)關(guān)上能夠針對(duì)端口配置最大的ND表項(xiàng)學(xué)習(xí)數(shù)量,緩解此類攻擊。
1) 信任表項(xiàng)與ND
Detection從前文的描述,我們知道,在局域網(wǎng)中ARP或ND攻擊的根本原因是無(wú)法對(duì)所交互的ARP或ND報(bào)文進(jìn)行驗(yàn)證,從而無(wú)法得知正確的用戶IP、MAC、端口的綁定信息,所以無(wú)法對(duì)異常的ND報(bào)文進(jìn)行過濾,使得網(wǎng)絡(luò)中可能發(fā)生ARP/ND攻擊。
通過ND snooping、DHCP snooping、手工配置等手段在接入層交換機(jī)上建立的一張IP、MAC、Port的可信表項(xiàng),獲取可靠的用戶IP地址與MAC地址的對(duì)應(yīng)關(guān)系。通過這張表項(xiàng),結(jié)合ND Detection技術(shù),對(duì)異常的ND報(bào)文進(jìn)行過濾,達(dá)到防止ND攻擊的效果。
ND snooping與DHCP snooping是一種動(dòng)態(tài)獲取用戶IP、MAC、Port對(duì)應(yīng)關(guān)系的技術(shù),ND snooping:ND協(xié)議報(bào)文的交互過程在上文已經(jīng)進(jìn)行了描述,在ND snooping中,監(jiān)聽ND協(xié)議的DAD交互過程,獲取用戶的IP、MAC、Port的對(duì)應(yīng)關(guān)系。
DHCP snooping:通過監(jiān)聽DHCP的交互過程,獲得用戶的IP、MAC、Port的綁定表項(xiàng)。
手工綁定表項(xiàng):手工綁定是一種常用的技術(shù),在一些規(guī)模不大的網(wǎng)絡(luò)中,或者對(duì)安全性要求較高且不經(jīng)常變化的網(wǎng)絡(luò)中,使用手工綁定來(lái)建立可信表項(xiàng)。
在建立了綁定表項(xiàng)之后,能夠保證一個(gè)已經(jīng)獲取了IP地址的用戶只能使用已獲取的地址進(jìn)行通信,過濾掉所有的不在綁定表項(xiàng)中的IPv6的非法用戶發(fā)送的IP報(bào)文。ND Detection通過結(jié)合已經(jīng)建立的綁定表項(xiàng),這個(gè)綁定表項(xiàng)可以是使用ND snooping,DHCP snooping,手工來(lái)進(jìn)行配置的,通過比較已經(jīng)獲取到的可信表項(xiàng)中的IP與MAC地址,對(duì)ND報(bào)文進(jìn)行過濾,丟棄異常的報(bào)文。相比單純使用ACL進(jìn)行的用戶綁定,ND
Detection技術(shù)結(jié)合綁定表項(xiàng)對(duì)ND報(bào)文進(jìn)行過濾,能夠更好的防御ND攻擊。
2) RA Trust與DHCP TrustRA Trust與DHCP
Trust的功能不同,但是思路是相同的,管理員可以在相應(yīng)的連接DHCP服務(wù)器或網(wǎng)關(guān)的接口上進(jìn)行配置,通過手工指定連接DHCP服務(wù)器與連接發(fā)送RA的設(shè)備的接口(通常是網(wǎng)關(guān)),能夠避免網(wǎng)絡(luò)中DHCP報(bào)文與RA報(bào)文的任意發(fā)送。當(dāng)進(jìn)行了RA
Trust與DHCP Trust后,DHCP的服務(wù)器端報(bào)文與RA報(bào)文只能從配置了TRUST的端口進(jìn)入,避免了DHCP服務(wù)器欺騙與RA攻擊,提升了局域網(wǎng)安全性。
3) 限制接口學(xué)習(xí)ND表項(xiàng)的最大數(shù)目當(dāng)指定接口下的ND
snooping表項(xiàng)達(dá)到允許學(xué)習(xí)的最大數(shù)目后,將不允許新增動(dòng)態(tài)學(xué)習(xí)表項(xiàng),以保證當(dāng)一個(gè)接口所接入的某一臺(tái)主機(jī)發(fā)起ND攻擊時(shí)不會(huì)導(dǎo)致整個(gè)設(shè)備的ND
Snooping表資源都被耗盡。
4. ND協(xié)議安全功能總結(jié)
H3C的ND防攻擊技術(shù),通過在網(wǎng)絡(luò)設(shè)備學(xué)習(xí)可信的用戶接入表項(xiàng),同時(shí)配合ND
Detection技術(shù),對(duì)非法報(bào)文進(jìn)行過濾,提高了用戶側(cè)ND報(bào)文的可信性及安全性,防止網(wǎng)絡(luò)出現(xiàn)地址欺騙及DAD造成的攻擊。配合DHCP Trust與RA
Trust功能,禁止非法的DHCP報(bào)文與RA報(bào)文發(fā)送,防止了針對(duì)RA的攻擊。通過限制ND
snooping表項(xiàng)的學(xué)習(xí)數(shù)量,避免的對(duì)設(shè)備的DoS攻擊。通過提供了一套完整的ND防攻擊解決方案,提高了用戶接入層的ND安全水平。
二、用戶身份安全
1. 雙棧用戶的身份認(rèn)證
在用戶接入網(wǎng)絡(luò)時(shí),為了保證用戶的身份安全,需要對(duì)用戶進(jìn)行身份驗(yàn)證,認(rèn)證的方式是使用802.1X認(rèn)證協(xié)議。用戶身份驗(yàn)證完成后,在服務(wù)器側(cè)會(huì)對(duì)用戶的接入地址、接入位置進(jìn)行審計(jì),在一些對(duì)安全要求較高的網(wǎng)絡(luò)中,同時(shí)結(jié)合網(wǎng)流分析系統(tǒng),對(duì)用戶后續(xù)的網(wǎng)絡(luò)訪問進(jìn)行審計(jì)。
在雙棧網(wǎng)絡(luò)中,原有的IPv4用戶會(huì)升級(jí)為IPv6/IPv4的雙??蛻舳?,在這種情況下,需要對(duì)原有的用戶認(rèn)證系統(tǒng)進(jìn)行升級(jí),使得客戶端,認(rèn)證服務(wù)器能夠識(shí)別一個(gè)雙棧用戶,對(duì)其進(jìn)行相應(yīng)的認(rèn)證并執(zhí)行對(duì)應(yīng)的安全措施。
2. 雙棧網(wǎng)絡(luò)中認(rèn)證設(shè)備的升級(jí)
由于802.1X是在鏈路層對(duì)用戶進(jìn)行認(rèn)證,當(dāng)認(rèn)證完成后,根據(jù)接入用戶的MAC地址進(jìn)行控制。而對(duì)使用了IPv6/IPv4的雙棧用戶而言,認(rèn)證客戶端不僅能夠在鏈路層執(zhí)行用戶認(rèn)證過程,還需要針對(duì)這個(gè)用戶將用戶的IPv6/IPv4地址上傳到服務(wù)器上,為后續(xù)針對(duì)用戶的控制、審計(jì)提供必要的支撐。
如上文所述,在雙棧網(wǎng)絡(luò)中,需要對(duì)認(rèn)證客戶端,認(rèn)證服務(wù)器進(jìn)行升級(jí)改造,使之能夠適應(yīng)雙棧網(wǎng)絡(luò)的情況,對(duì)認(rèn)證客戶端及認(rèn)證服務(wù)器的改造情況如下:
認(rèn)證客戶端:支持對(duì)認(rèn)證網(wǎng)卡上的雙棧地址的上傳。這里需要說明的是,對(duì)于一個(gè)使用隧道接入的用戶,其雖然能夠使用IPv6進(jìn)行接入,但是還是使用IPv4進(jìn)行隧道封裝后進(jìn)行的轉(zhuǎn)發(fā),所以認(rèn)證客戶端側(cè)仍然將其視為一個(gè)IPv4的用戶。
上傳IP地址的客戶端選項(xiàng),在802.1X連接的屬性中進(jìn)行配置,如圖5所示:

圖5 客戶端IP地址上傳
在認(rèn)證客戶端側(cè)只有選中了“上傳IP地址”選項(xiàng),對(duì)應(yīng)連接在做802.1X認(rèn)證時(shí)才允許上報(bào)IPv4和IPv6地址。當(dāng)選擇了“上傳IP地址”的選項(xiàng)后,認(rèn)證客戶端會(huì)在802.1X認(rèn)證時(shí),將客戶端認(rèn)證網(wǎng)卡上的IPv4地址以及IPv6的全球單播地址通過接入設(shè)備上傳至認(rèn)證服務(wù)器,完成對(duì)雙棧用戶的識(shí)別。
認(rèn)證服務(wù)器:認(rèn)證服務(wù)器能夠?qū)蛻舳松蟼鞯腎Pv6/IPv4地址進(jìn)行記錄,對(duì)接入用戶的日志信息進(jìn)行審計(jì)。除了對(duì)用戶的接入信息進(jìn)行審計(jì)之外,在認(rèn)證服務(wù)器上還可以對(duì)用戶的身份信息進(jìn)行綁定,能夠綁定用戶的IPv4/IPv6地址,接入端口,MAC地址等信息進(jìn)行聯(lián)合綁定,提高用戶身份的可信度。
通過將認(rèn)證客戶端及認(rèn)證服務(wù)器升級(jí),能夠處理雙棧用戶的網(wǎng)絡(luò)層信息,這樣為后續(xù)的用戶身份審計(jì),用戶上網(wǎng)審計(jì)提供了有效參考。并且,在網(wǎng)絡(luò)中能夠?qū)﹄p棧用戶的各種身份信息進(jìn)行綁定,大大提高了接入用戶的安全性。
三、 結(jié)束語(yǔ)
在雙棧園區(qū)網(wǎng)的接入層,主要考慮網(wǎng)絡(luò)協(xié)議安全及用戶接入的身份安全兩個(gè)部分,在升級(jí)為IPv6/IPv4后,接入層的安全控制同樣要發(fā)生變化。上文描述了雙棧網(wǎng)絡(luò)中的接入層安全技術(shù),包括ND協(xié)議安全及用戶身份安全部分。在接入層安全技術(shù)的部署中,根據(jù)所需的安全等級(jí)及具體網(wǎng)絡(luò)情況,有選擇的進(jìn)行部署,對(duì)ND協(xié)議的風(fēng)險(xiǎn)及非法用戶的風(fēng)險(xiǎn)進(jìn)行防御。在雙棧網(wǎng)絡(luò)中,可以與ARP防攻擊結(jié)合,在接入層完成對(duì)ARP攻擊,ND攻擊及非法用戶訪問的防御,提升接入層網(wǎng)絡(luò)的安全性。
 
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。