工程4的项目4 IPv6安全配置.pptVIP

第31-32讲 工程4项目4 IPv6安全配置  本讲内容 今PV6安全性 今|Pv6ACL ◆|PV6DHCP 今|Pv6DNS  4.1|Pv6安全性 传输安全 ◆由于IPV4在设计之初没有过多地考虑网络的安全性,随着 INternet的飞速发 展,各种应用越来越多和越来越深入,这种设计的不完善性引发了越来越多 的网络安全问题,尽管后来通过在应用程序级上采用了一些安全机制,如加 密和安全套接字层( Secure Socket Layer,SSL)等技术,但依然无法从IP层 来保证网络的安全。 ◆而IPse协议恰恰是解决IP层安全的一种可行的网络安全机制,该协议对IPv4 来说是可选项,但对IPV6来说是必选的,它是IP6网络安全的核心 ◆ IPsec协议是由一系列能够为P网络提供完整安全方案的协议所构成,这些协 议的组合为应用实体提供了多种保护措施,也构成了 IPsec的体系结构, 封装安全有效载荷(ESP):ESP定义了ESP加密及验证处理的相关报文的 格式和处理规则 ●认证报头(AH):AH定义了AH验证处理的相关报文的格式和处理规则。 ●加密算法:加密算法描述各种加密算法如何用于ESP中。 ●验证算法:验证算法描述各种身份验证算法如何应用于AH和ESP中。  4.1|Pv6安全性 2服务安全 ◆不管是IPV4还是IPV6,都需要使用Web、DNS等服务器,IPV6网络 中的服务器就是一个容易被黑客看中的关键主机。也就是说,虽然无 法对整个网络进行系统的网络侦察,但在每个IPV6的网络中,总有那 么几台主机是大家都知道网络名字的,也可以对这些主机进行攻击 而且,因为IPv6的地址空间实在是太大了,很多P6的网络都会使用 动态的DNS服务。而如果攻击者可以攻占这台动态DNS服务器,就可 以得到大量的在线IPv6的主机地址 心对于关键网络服务器的安全需要特别重视,不然黑客就会从这里入手 从而进入整个网络。所以,网络管理员在对主机赋予IPV6地址时,不 应该使用好记的地址,也要尽量对自己网络中的IPV6地址进行随机化 ,这样会在很大程度上减少这些主机被黑客发现的机会  4.1|Pv6安全性 3应用安全 令目前,病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播 方式在IPv6的网络中就不再适用了,因为IPV6的地址空间实在是太大 了,如果这些病毒或者蠕虫还想通过扫描地址段的方式来找到有可乘 之机的其他主机,就犹如大海捞针。在IPv6的世界中,对IPV6网络进 行类似IP4的按照IP地址段进行网络侦察是不可能了 在IPv6的世界里,病毒、互联网蠕虫的传播将变得非常困难。但是 基于应用层的病毒和互联网蠕虫是一定会存在的,电子邮件的病毒还 是会继续传播。此外,还需要注意PV6网络中的关键主机的安全。 ◆对于特定应用领域,如电子商务等的攻击行为与IPV4网络基本相同, 除非采用严格的防护措施才能解决。  4.2 IPV6 ACL 功能:类似PV4,IPv6的访问控制列表(ACL)有以下功能 特征: 令可根据源和目的地址过滤 ◆可在特定接口上分别控空制进入和外出流量 ◆可添加ACL优先级 ACL控制列表最后隐含着条拒绝所有 deny all ◆注意IPV6中只能使用命名式访问控制列表  4.2.1|PV6ACL命令配置 1.建立ACL ◆命令格式 pv6 access-list access-/ist-name∥建ACL no ipv6 access-list access-list-name∥删除ACL 今注意 |Pv6不再使用数字访问列表,数字也将作为名字访问列表处理 ;而且Pv4和Pv6的访问列表不能使用相同的名字,否则端口 无法识别 在全局配置模式下配置,并进入Pv6ACL命令配置模式; 在用ex命令退出访问列表配置模式后,使用该命令的no形式 可以删除该访间控制列表。  4.2.1|PV6ACL命令配置 2.添加ACL语句: ◆命令格式 Permit deny协议源地址目标地址选项等 t3i: permit tcp any host 1: 1 eq web deny fc00: 0: 0: 2: /64 any permit any any ◆注意 Pv6ACL默认配置是允许CMPV6的ND报文(相当于PV4的 ARP),但禁止其他RPv6报文。也就是说,在用deny配置规则时 ,应该在最后添加一条 permit any any 即隐含 permit icmp any any nd-na permit icmp any any nd-ns deny ipv6