網(wǎng)絡(luò)安全防護(hù)IPv6技術(shù)七問七答
3、IPv6網(wǎng)絡(luò)防御和方法如何影響應(yīng)用程序級別的攻擊?
應(yīng)用層防御通常包括協(xié)議識別、IPS、防病毒、URL過濾等。它主要檢測消息應(yīng)用程序?qū)拥呢?fù)載,而不受IPv4/IPv6網(wǎng)絡(luò)層協(xié)議的影響。因此,在IPv6網(wǎng)絡(luò)中的現(xiàn)有IPv4協(xié)議中,大多數(shù)應(yīng)用程序?qū)影踩δ懿粫艿接绊憽?/span>
但是,某些IPv4網(wǎng)絡(luò)協(xié)議會更改IPv6網(wǎng)絡(luò)的要求。例如,如果DNS協(xié)議更新為DNSv6,則必須根據(jù)協(xié)議更改調(diào)整適當(dāng)?shù)膽?yīng)用程序?qū)訙y試。
4、網(wǎng)絡(luò)安全防護(hù)IPv6技術(shù)為擴(kuò)展頭添加了IPSec的端到端加密功能。如果應(yīng)用程序啟用了此功能,網(wǎng)絡(luò)安全設(shè)備將如何檢測和保護(hù)加密流量?
通常,網(wǎng)絡(luò)安全設(shè)備無法解密IPSec上的加密流量,只能從IP地址控制流量。但從目前的情況來看,這些“嵌入式”IPSec通常需要使用尚未成熟的密鑰分發(fā)技術(shù),這可能會導(dǎo)致較高的管理成本。由于網(wǎng)絡(luò)安全設(shè)備無法正確解密IPSec流量,防火墻和其他網(wǎng)絡(luò)安全設(shè)備無法在網(wǎng)絡(luò)和應(yīng)用程序級別檢測到IPSec流量。從某種意義上說,系統(tǒng)的安全性是無法得到充分保障的。對于典型的企業(yè)應(yīng)用程序,考慮到管理成本和安全性,建議繼續(xù)使用防火墻對IPSec VPN進(jìn)行加密和解密,并在網(wǎng)關(guān)站點(diǎn)(如IPS和狀態(tài)防火墻)執(zhí)行安全檢查。技術(shù)完成后,您就可以實(shí)施完整的加密。
5、SSL代理功能是否受IPv6協(xié)議影響?
SSL代理不依賴于網(wǎng)絡(luò)層的特定協(xié)議,并且可以解密IPv6 SSL加密流量。
6、如何通過IPv6網(wǎng)絡(luò)防火墻訪問安全策略管理?安全策略和IPv4有什么區(qū)別?
IPv6和IPv4安全策略的管理和控制是相同的,但必須根據(jù)ACL中的5個(gè)元組分別進(jìn)行配置。只有IPv6地址變長,策略配置變得更加復(fù)雜。
7、IPv4服務(wù)的功能和性能方面,IPv4/IPv6雙棧功能對現(xiàn)有安全設(shè)備有何影響?
IPv4/IPv6雙堆棧的使用通常不影響安全設(shè)備的功能,但主要影響設(shè)備的性能。由于IPv6協(xié)議棧消耗IPv4服務(wù)的CPU、內(nèi)存和其他資源,因此現(xiàn)有的IPv4服務(wù)在會話表容量、新速度和吞吐量方面都有所減少。建議在升級/激活IPv4/IPv6雙堆棧之前評估現(xiàn)有安全設(shè)備的處理能力,并根據(jù)需要更換現(xiàn)有安全設(shè)備,以避免影響現(xiàn)有IPv4服務(wù)。