網(wǎng)絡(luò)安全防護(hù)IPv6技術(shù)七問七答

3、IPv6網(wǎng)絡(luò)防御和方法如何影響應(yīng)用程序級別的攻擊？

應(yīng)用層防御通常包括協(xié)議識別、IPS、防病毒、URL過濾等。它主要檢測消息應(yīng)用程序?qū)拥呢?fù)載，而不受IPv4/IPv6網(wǎng)絡(luò)層協(xié)議的影響。因此，在IPv6網(wǎng)絡(luò)中的現(xiàn)有IPv4協(xié)議中，大多數(shù)應(yīng)用程序?qū)影踩δ懿粫艿接绊憽?/span>

但是，某些IPv4網(wǎng)絡(luò)協(xié)議會更改IPv6網(wǎng)絡(luò)的要求。例如，如果DNS協(xié)議更新為DNSv6，則必須根據(jù)協(xié)議更改調(diào)整適當(dāng)?shù)膽?yīng)用程序?qū)訙y試。

4、網(wǎng)絡(luò)安全防護(hù)IPv6技術(shù)為擴(kuò)展頭添加了IPSec的端到端加密功能。如果應(yīng)用程序啟用了此功能，網(wǎng)絡(luò)安全設(shè)備將如何檢測和保護(hù)加密流量？

通常，網(wǎng)絡(luò)安全設(shè)備無法解密IPSec上的加密流量，只能從IP地址控制流量。但從目前的情況來看，這些“嵌入式”IPSec通常需要使用尚未成熟的密鑰分發(fā)技術(shù)，這可能會導(dǎo)致較高的管理成本。由于網(wǎng)絡(luò)安全設(shè)備無法正確解密IPSec流量，防火墻和其他網(wǎng)絡(luò)安全設(shè)備無法在網(wǎng)絡(luò)和應(yīng)用程序級別檢測到IPSec流量。從某種意義上說，系統(tǒng)的安全性是無法得到充分保障的。對于典型的企業(yè)應(yīng)用程序，考慮到管理成本和安全性，建議繼續(xù)使用防火墻對IPSec VPN進(jìn)行加密和解密，并在網(wǎng)關(guān)站點(diǎn)（如IPS和狀態(tài)防火墻）執(zhí)行安全檢查。技術(shù)完成后，您就可以實(shí)施完整的加密。

5、SSL代理功能是否受IPv6協(xié)議影響？

SSL代理不依賴于網(wǎng)絡(luò)層的特定協(xié)議，并且可以解密IPv6 SSL加密流量。

6、如何通過IPv6網(wǎng)絡(luò)防火墻訪問安全策略管理？安全策略和IPv4有什么區(qū)別？

IPv6和IPv4安全策略的管理和控制是相同的，但必須根據(jù)ACL中的5個(gè)元組分別進(jìn)行配置。只有IPv6地址變長，策略配置變得更加復(fù)雜。

7、IPv4服務(wù)的功能和性能方面，IPv4/IPv6雙棧功能對現(xiàn)有安全設(shè)備有何影響？

IPv4/IPv6雙堆棧的使用通常不影響安全設(shè)備的功能，但主要影響設(shè)備的性能。由于IPv6協(xié)議棧消耗IPv4服務(wù)的CPU、內(nèi)存和其他資源，因此現(xiàn)有的IPv4服務(wù)在會話表容量、新速度和吞吐量方面都有所減少。建議在升級/激活IPv4/IPv6雙堆棧之前評估現(xiàn)有安全設(shè)備的處理能力，并根據(jù)需要更換現(xiàn)有安全設(shè)備，以避免影響現(xiàn)有IPv4服務(wù)。