IPv6数字化校园防火墙策略研究探究.docVIP

IPv6数字化校园防火墙策略研究探究 　　摘要：针对IPv4地址日益紧缺，数字化校园建设迫切需要更多的地址空间和更好的服务质量等问题，提出了IPV6数字化校园防火墙策略，通过IPv6防火墙双协议栈的研究，提出了IPv6安全策略配置的一种新方法，对于推广IPv6技术在校园网建设应用中有着重要的借鉴意义。 关键词：IPv6；数字化校园；防火墙 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）32-7213-03 随着互联网规模快速增长，数字化校园建设在现代化职业教育中的重要性日益彰显。校园网已经成为各个学校提高教学质量、提升管理水平的重要途径和手段。但是随着物联网的发展，接入互联网的不仅仅是计算机，还有许多智能设备，IPv4的43亿个地址空间在不久的将来显然是不够用的。因此，如何应对IPv4地址枯竭问题，满足用户日益增长的IP地址需求，是迫使互联网向下一代互联网（IPv6）演进的原动力。 然而，伴随着网络环境的不断演变，IPv6网络面临的网络威胁也逐渐彰显，IPv6除了要应对协议本身的安全问题外，还要面临从IPv4向IPv6迁移过程中出现的种种安全威胁。如何将IPv6安全措施与边缘过滤结合使用，构建一个拥有多种防御机制的安全防护体系，成为目前重要的研究课题。 1 IPv6技术 IPv6是人们针对IPv4目前暴露出来的地址不足而重新设计的一套网络层协议。IPv6的地址空间为128位，是IPv4地址空间的79×1024倍，因此，IPv6可以从根本上解决IPv4地址不足的问题，同时IPv6在扩展性、Qos以及安全性方面也相对IPv4进行了改进，具体包括：较大的地址空间、高效的协议首部、无状态自动配置、多播、超大型数据包、网络层安全、服务质量能力、支持移动性等。 2 数字化校园建设现状 随着互联网的迅猛发展，高职院校的数字化、信息化建设为学校的发展创造了新的契机，注入了新的活力。目前，绝大部分高职院校都已经初步具备了相对完善的校园网络，并且校园网用户也随之与日俱增，部分学校基本实现了在线办公、在线教学等办公自动化服务。校园网的建设及应用改变了传统的办公、教学模式，同时也为学生在校园内外进行网络学习提供了可靠的保障。然而，随着广大师生对网络资源的使用，网络流量随之增大，所需要的IP地址空间也相应增多。由于目前全球使用的主要是IPv4地址空间，一般分配给高职院校的网络地址都是C类IP地址，学校内部IP地址非常有限。虽然可采用NAT与PAT（动态的端口转换）相结合的NAPT技术以及动态分配IP地址的策略来缓解合法IP地址紧缺的问题，但是无法从根本上解决IP地址短缺的难题。因此，校园数字化建设从IPv4向IPv6过渡迫在眉睫。 3 IPv6防火墙 基于目前高职院校IPv4部署的现状，可以通过IPv4网络和IPv6网络共存的形式搭建校园网络。为了解决IPv6和IPv4能够互相连通、相互兼容，该文准备采用双协议栈技术，并依赖于有状态防火墙或无状态访问控制列表增强安全策略。双协议栈的协议结构如图1所示： 双协议栈技术的特点是互联网用户可以同时访问IPv6 网络和 IPv4 网络。对于双栈终端，IPv4 网关和 IPv6 网关均部署在汇聚 3 层交换机上。三层设备均选双栈设备，这样，既能运行 IPv4 路由协议也可运行 IPv6 路由协议。通过数据包过滤规则可以将计算机分成多个不同的信任等级，IPv6防火墙通过升级可以运行在双协议栈模式，也就是说，现有的IPv4防火墙将需要配置双栈模式的IPv4和IPv6，两种协议安全策略提供相同的安全保护功能。 由于当前的IPv4防火墙不适合处理IPv6安全策略的添加，因此可以考虑将新的仅支持IPv6的防火墙加到边缘，增强IPv6特殊的策略，IPv6防火墙仅与IPv6通信。如果IPv4和IPv6运营商不是同一个公司，则需要通过一条ISP连接，使用一台支持IPv6的外部路由器连接到IPv6 Internet。采用一个隔离的IPv6防火墙也可降低IPv6对现有的IPv4防火墙的潜在影响，在多数情况下，IPv6防火墙策略应该和IPv4相匹配，所有的防火墙必须内置这样的策略才能有效的提供网络安全保护能力。 4 IPv6安全策略配置 多数防火墙作为三层路由器实现，执行有状态的数据包过滤，对于IPv6而言，在数据链路层，存在更多被允许的数据包类型。当丢弃无效的IPv6数据包时，防火墙或路由器会自动发回ICMPv6错误信息，这条错误信息将会返回到攻击者，并会向攻击者提供后续攻击可以利用的信息，由于ICMP不可达数据包是由防火墙CPU加以处理的，这就使得防火墙很容易受到资源消耗攻击，攻击者可以向防火墙发送大量的被阻塞的数