IPV6的概念，我們現(xiàn)在并不陌生。面對這個(gè)新的網(wǎng)絡(luò)命令者，與前一個(gè)主宰者——IPV4的不同，具體體現(xiàn)在哪里呢？現(xiàn)在我們就以安全問題來做一個(gè)深入的研究。在安全方面IPV6路由協(xié)議有著更為完善的機(jī)制。為什么這么說呢？下文將為大家做具體的分析。

1. 協(xié)議安全

在協(xié)議安全層面上，IPV6路由協(xié)議全面支持認(rèn)證頭(AH)認(rèn)證和封裝安全有效負(fù)荷(ESP)信息安全封裝擴(kuò)展頭。AH認(rèn)證支持hmac_md5_96、hmac_sha_1_96認(rèn)證加密算法，ESP封裝支持DES_CBC、3DES_CBC以及Null等三種算法。

2. 網(wǎng)絡(luò)安全

(1)　端到端的安全保證。在兩端主機(jī)上對報(bào)文進(jìn)行IPSec封裝，中間路由器實(shí)現(xiàn)對有IPSec擴(kuò)展頭的IPV6報(bào)文進(jìn)行透傳，從而實(shí)現(xiàn)端到端的安全。

(2)　對內(nèi)部網(wǎng)絡(luò)的保密。當(dāng)內(nèi)部主機(jī)與因特網(wǎng)上其他主機(jī)進(jìn)行通信時(shí)，為了保證內(nèi)部網(wǎng)絡(luò)的安全，可以通過配置的IPSec網(wǎng)關(guān)實(shí)現(xiàn)。因?yàn)镮PSec作為IPV6路由協(xié)議的擴(kuò)展報(bào)頭不能被中間路由器而只能被目的節(jié)點(diǎn)解析處理，因此IPSec網(wǎng)關(guān)可以通過IPSec隧道的方式實(shí)現(xiàn)，也可以通過IPV6路由協(xié)議擴(kuò)展頭中提供的路由頭和逐跳選項(xiàng)頭結(jié)合應(yīng)用層網(wǎng)關(guān)技術(shù)來實(shí)現(xiàn)。后者的實(shí)現(xiàn)方式更加靈活，有利于提供完善的內(nèi)部網(wǎng)絡(luò)安全，但是比較復(fù)雜。

(3)　通過安全隧道構(gòu)建安全的VPN。此處的VPN是通過IPV6路由協(xié)議的IPSec隧道實(shí)現(xiàn)的。在路由器之間建立IPSec的安全隧道，構(gòu)成安全的VPN是最常用的安全網(wǎng)絡(luò)組建方式。IPSec網(wǎng)關(guān)的路由器實(shí)際上就是IPSec隧道的終點(diǎn)和起點(diǎn)，為了滿足轉(zhuǎn)發(fā)性能的要求，該路由器需要專用的加密板卡。

(4)　通過隧道嵌套實(shí)現(xiàn)網(wǎng)絡(luò)安全。通過隧道嵌套的方式可以獲得多重的安全保護(hù)。當(dāng)配置了IPSec的主機(jī)通過安全隧道接入到配置了IPSee網(wǎng)關(guān)的路由器，并且該路由器作為外部隧道的終結(jié)點(diǎn)將外部隧道封裝剝除時(shí)，嵌套的內(nèi)部安全隧道就構(gòu)成了對內(nèi)部網(wǎng)絡(luò)的安全隔離。

3. 其他安全保障

IPV6路由協(xié)議的IPSec為網(wǎng)絡(luò)數(shù)據(jù)和信息內(nèi)容的有效性、一致性以及完整性提供了保證，但是數(shù)據(jù)網(wǎng)絡(luò)的安全威脅是多層面的，它們分布在物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層等各個(gè)部分。

對于物理層的安全隱患，可以通過配置冗余設(shè)備、冗余線路、安全供電、保障電磁兼容環(huán)境以及加強(qiáng)安全管理來防護(hù)。

對于物理層以上層面的安全隱患，可以采用以下防護(hù)手段：通過諸如AAA、TACACS+、RADIUS等安全訪問控制協(xié)議控制用戶對網(wǎng)絡(luò)的訪問權(quán)限來防止針對應(yīng)用層的攻擊;通過MAC地址和IP地址綁定、限制每端口的MAC地址使用數(shù)量、設(shè)立每端口廣播包流量門限、使用基于端口和VLAN的ACL、建立安全用戶隧道等來防范針對二層網(wǎng)絡(luò)的攻擊;通過進(jìn)行路由過濾、對路由信息的加密和認(rèn)證、定向組播控制、提高路由收斂速度、減輕路由振蕩的影響等措施來加強(qiáng)三層網(wǎng)絡(luò)的安全性。

路由器和交換機(jī)對IPSec的完善支持保證了網(wǎng)絡(luò)數(shù)據(jù)和信息內(nèi)容的有效性、一致性以及完整性，并且為網(wǎng)絡(luò)安全提供了諸多解決辦法。