【文章內(nèi)容簡(jiǎn)介】 ND報(bào)文的可信性及安全性。再配合DHCP Trust與RA Trust功能，禁止非法的DHCP報(bào)文與RA報(bào)文發(fā)送，從多方面提升了ND協(xié)議的安全性，解決了在IPv6網(wǎng)絡(luò)中存在的ND攻擊問(wèn)題。 IPv6外網(wǎng)流量的分析控制隨著園區(qū)IT技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)正逐步改變著科研人員的工作方式和生活方式，豐富的數(shù)字化應(yīng)用成為當(dāng)今數(shù)字化發(fā)展的一個(gè)主題。網(wǎng)絡(luò)的開(kāi)放性，互連性，共享性程度的擴(kuò)大，使網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越重要。然而網(wǎng)絡(luò)安全問(wèn)題，也明顯出現(xiàn)了上升態(tài)勢(shì)，經(jīng)?？梢栽诰W(wǎng)絡(luò)中心的工作記錄上看到像網(wǎng)上發(fā)布非法言論、發(fā)送帶病毒附件的郵件、P2P帶寬濫用、DDoS攻擊、PC機(jī)不裝殺毒軟件、Windows終端不打補(bǔ)丁、ARP攻擊、篡改IP/MAC地址等各種網(wǎng)絡(luò)信息安全相關(guān)問(wèn)題。顯然做好安全加固工作刻不容緩，安全問(wèn)題已經(jīng)威脅了駐地網(wǎng)的前進(jìn)和發(fā)展的步伐。 外網(wǎng)流量分析控制包括了應(yīng)用控制網(wǎng)關(guān)和用戶安全執(zhí)行中心，完成行為識(shí)別、行為控制、行為審計(jì)三大環(huán)節(jié)。行為識(shí)別：ACG采用H3C專利技術(shù)UAAE（智能應(yīng)用感知引擎），具備強(qiáng)大的應(yīng)用識(shí)別能力，可識(shí)別P2P、非法網(wǎng)站訪問(wèn)等行為；行為控制：ACG通過(guò)阻斷、限流、過(guò)濾等方式實(shí)現(xiàn)用戶行為精細(xì)化控制控制，有效解決帶寬濫用、訪問(wèn)非法網(wǎng)站感染病毒等問(wèn)題；行為審計(jì)：用戶安全執(zhí)行中心對(duì)ACG檢測(cè)出的網(wǎng)絡(luò)安全事件進(jìn)行深入分析并輸出審計(jì)報(bào)告，同時(shí)收集防火墻發(fā)送的NAT日志，幫助管理員全面了解用戶行為和流量趨勢(shì)，為加強(qiáng)整網(wǎng)安全、滿足合規(guī)性要求提供決策依據(jù)。管控基本原理行為識(shí)別在出口上實(shí)現(xiàn)用戶行為管控，首先必須對(duì)用戶行為做到精確識(shí)別，ACG通過(guò)深度應(yīng)用流量識(shí)別，可根據(jù)特征識(shí)別網(wǎng)絡(luò)中的各種P2P應(yīng)用協(xié)議和流量，同時(shí)可以通過(guò)深度行為分析識(shí)別用戶各種上網(wǎng)行為；防火墻對(duì)相關(guān)應(yīng)用進(jìn)行NAT地址轉(zhuǎn)換并作記錄。行為控制 在精確識(shí)別用戶行為的基礎(chǔ)上，必須能對(duì)非法的行為進(jìn)行控制。根據(jù)駐地網(wǎng)的實(shí)際情況，在ACG上配置流控策略和過(guò)濾策略，ACG在識(shí)別用戶行為后根據(jù)相關(guān)策略，對(duì)用戶行為進(jìn)行細(xì)粒度的控制。行為審計(jì)根據(jù)公安部82號(hào)令的要求，網(wǎng)絡(luò)管理者或者運(yùn)營(yíng)者必須記錄并留存用戶登錄和退出時(shí)間、主叫號(hào)碼、帳號(hào)、互聯(lián)網(wǎng)地址或域名等信息，能夠記錄并留存用戶使用的互聯(lián)網(wǎng)網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址對(duì)應(yīng)關(guān)系，并保留3個(gè)月以上的上網(wǎng)日志信息備查。用戶安全執(zhí)行中心收集ACG記錄的用戶應(yīng)用訪問(wèn)信息和防火墻發(fā)送的NAT日志，對(duì)HTTP、Email、FTP、IM等行為進(jìn)行分析，記錄網(wǎng)頁(yè)域名、地址、郵件收發(fā)人、主題、附件名、FTP上傳下載文件等內(nèi)容，實(shí)時(shí)輸出用戶行為審計(jì)報(bào)告，滿足公安部第82號(hào)令和駐地網(wǎng)上網(wǎng)行為審計(jì)要求。當(dāng)發(fā)生安全事故后，可以根據(jù)記錄的信息對(duì)用戶既往行為進(jìn)行分析和追根朔源，對(duì)潛在的破壞者可起到威懾作用。實(shí)踐應(yīng)用之：P2P帶寬濫用訪問(wèn)控制ACG根絕特征識(shí)別網(wǎng)絡(luò)中的各種P2P應(yīng)用協(xié)議和流量，可支持Thunder（迅雷）、BitTorrent、eMule（電騾）、eDonkey（電驢）、PPLive等常見(jiàn)P2P應(yīng)用。ACG基于用戶、IP、應(yīng)用、時(shí)間段的任意組合進(jìn)行多維度細(xì)粒度的控制，可提供阻斷、限流等多種控制方式，并可提供應(yīng)用控制黑白名單功能，實(shí)現(xiàn)對(duì)于P2P的帶寬控制。用戶安全執(zhí)行中心根據(jù)ACG發(fā)送的信息，提供P2P的分布和趨勢(shì)、P2P協(xié)議的排名、單協(xié)議的流量分布和趨勢(shì)、TOPN用戶分布、用戶流量數(shù)據(jù)和趨勢(shì)等分析，幫助管理員分析網(wǎng)絡(luò)中的P2P流量。實(shí)踐應(yīng)用之：非法HTTP訪問(wèn)控制ACG通過(guò)URL識(shí)別用戶對(duì)非法網(wǎng)站的訪問(wèn)，可通過(guò)自定義IP地址、主機(jī)名、正則表達(dá)式等方式設(shè)置URL特征庫(kù)；防火墻進(jìn)行NAT地址轉(zhuǎn)換并記錄相關(guān)信息。ACG進(jìn)行URL及關(guān)鍵字過(guò)濾、上傳下載文件過(guò)濾、并可根據(jù)不同的URL策略和時(shí)間表設(shè)置不同的響應(yīng)方式，避免保密信息的外泄，免受非法信息的干擾，確保網(wǎng)絡(luò)的健康使用。用戶安全執(zhí)行中心記錄防火墻發(fā)送的NAT前后地址信息，記錄ACG發(fā)送的網(wǎng)頁(yè)IP、域名、訪問(wèn)用戶、訪問(wèn)時(shí)間等信息，滿足公安部82號(hào)令要求。用戶安全執(zhí)行中心記錄防火墻發(fā)送的NAT前后地址信息，記錄ACG發(fā)送的發(fā)送的郵件服務(wù)器IP、用戶IP、收發(fā)件人、郵件標(biāo)題、附件標(biāo)題、時(shí)間等信息，滿足公安部82號(hào)令要求。通過(guò)出口行為管控，不但解決了駐地網(wǎng)用戶通過(guò)P2P下載造成網(wǎng)速變慢問(wèn)題，還解決了通過(guò)訪問(wèn)非法網(wǎng)站帶來(lái)的安全和政治問(wèn)題，并且可以實(shí)現(xiàn)詳盡的用戶上網(wǎng)行為審計(jì)，同時(shí)滿足了駐地網(wǎng)網(wǎng)絡(luò)的管理要求和合規(guī)性要求。第5章 IPv6組播業(yè)務(wù)部署 組播技術(shù)概述組播是指在IP網(wǎng)絡(luò)中將數(shù)據(jù)包以盡力傳送的形式發(fā)送到某個(gè)確定的節(jié)點(diǎn)集合（即組播組），其基本思想是：源主機(jī)（即組播源）只發(fā)送一份數(shù)據(jù)，其目的地址為組播組地址；組播組中的所有接收者都可收到同樣的數(shù)據(jù)拷貝，并且只有組播組內(nèi)的主機(jī)可以接收該數(shù)據(jù)，而其它主機(jī)則不能收到。組播技術(shù)有效地解決了單點(diǎn)發(fā)送、多點(diǎn)接收的問(wèn)題，實(shí)現(xiàn)了IP網(wǎng)絡(luò)中點(diǎn)到多點(diǎn)的高效數(shù)據(jù)傳送，能夠大量節(jié)約網(wǎng)絡(luò)帶寬、降低網(wǎng)絡(luò)負(fù)載。作為一種與單播和廣播并列的通信方式，組播的意義不僅在于此。更重要的是，可以利用網(wǎng)絡(luò)的組播特性方便地提供一些新的增值業(yè)務(wù)，如在線直播、網(wǎng)絡(luò)電視、遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療、網(wǎng)絡(luò)電臺(tái)、實(shí)時(shí)視頻會(huì)議等互聯(lián)網(wǎng)的信息服務(wù)領(lǐng)域。 IPv6組播技術(shù)介紹組播技術(shù)的實(shí)現(xiàn)需要解決以下幾方面問(wèn)題：178。 組播源向一組確定的接收者發(fā)送信息，而如何來(lái)標(biāo)識(shí)這組確定的接收者？178。 接收者通過(guò)加入組播組來(lái)實(shí)現(xiàn)對(duì)組播信息的接收，而接收者是如何動(dòng)態(tài)地加入或離開(kāi)組播組的？178。 組播報(bào)文在網(wǎng)絡(luò)中是如何被轉(zhuǎn)發(fā)并最終到達(dá)接收者的？IPv6組播地址在IPv6中，使用組播組地址來(lái)確定一個(gè)組播組的接收者。一個(gè)節(jié)點(diǎn)可能屬于多個(gè)組播組。發(fā)往組播地址的報(bào)文被組播地址標(biāo)識(shí)的所有接口接收。圖5 IPv6組播地址格式IPv6組播地址的格式如上圖所示，其中各字段的含義如下：(1) 0xFF：最高8比特為11111111，標(biāo)識(shí)此地址為組播地址。(2) Flags：4比特。如圖2所示，F(xiàn)lags字段中各位的取值如下：圖6 Flags字段格式252。 最高位為保留位，必須為 0。252。 R bit：取0表示非內(nèi)嵌RP的組播地址；取1則表示內(nèi)嵌RP的組播地址，此時(shí)P、T位都必須置1。252。 P bit：取0表示非基于單播前綴的組播地址；取1則表示基于單播前綴的組播地址，此時(shí)T位也必須置1。252。 T bit：取0表示永久分配組播地址；取1則表示非永久分配的組播地址。(3) Scope：4比特，用于標(biāo)識(shí)此組播組的應(yīng)用范圍，其取值及含義如表1所示。表1 Scope字段的取值及其含義(4) Group ID：112比特，組播組標(biāo)識(shí)號(hào)。用來(lái)在由Scope字段所指定的范圍內(nèi)唯一標(biāo)識(shí)組播組，該標(biāo)識(shí)可能是永久分配的或臨時(shí)的，這由Flags字段的T位決定。IPv6組播MAC地址IPv6組播MAC地址的高16位為0x3333，低32位為IPv6組播地址的低32位。如下圖所示，是IPv6組播地址FF1E::F30E:101的MAC地址映射舉例。圖7 IPv6組播MAC地址如上圖所示，IPv6的組播MAC地址為將128 bit的IPv6組播地址的低32bit：F30E0101直接映射到了MAC地址的低32bit中。組播組管理協(xié)議組成員關(guān)系管理是指在路由器/交換機(jī)上建立直聯(lián)網(wǎng)段內(nèi)的組成員關(guān)系信息，具體說(shuō)，就是管理各接口/端口下有哪些組播組的成員。在IPv6中使用MLD協(xié)議作為組播組管理協(xié)議，MLD是運(yùn)行于主機(jī)和與主機(jī)直連的路由器之間，其實(shí)現(xiàn)的功能是雙向的：一方面，主機(jī)通過(guò)MLD報(bào)告通知路由器希望接收某個(gè)特定組播組的信息；另一方面，路由器通過(guò)MLD查詢周期性地查詢局域網(wǎng)內(nèi)的組播組成員是否處于活動(dòng)狀態(tài)，實(shí)現(xiàn)所連網(wǎng)段組成員關(guān)系的收集與維護(hù)。通過(guò)MLD協(xié)議，在路由器中記錄的信息是某個(gè)組播組是否在本地有組成員，而不是組播組與主機(jī)之間的對(duì)應(yīng)關(guān)系。目前MLD有以下兩個(gè)版本：MLDv1（RFC 2710）對(duì)應(yīng)IGMP v2MLDv2（RFC 3810）對(duì)應(yīng)IGMP v3 MLDv2原理簡(jiǎn)介MLDv2的原理與MLDv1基本相同，并新增了一些特性：對(duì)IPv6組播源的過(guò)濾MLDv2增加了針對(duì)IPv6組播源的過(guò)濾模式（INCLUDE/EXCLUDE），使主機(jī)在加入某IPv6組播組G的同時(shí)，能夠明確要求接收或拒絕來(lái)自某特定IPv6組播源S的IPv6組播信息。當(dāng)主機(jī)加入IPv6組播組時(shí)：若要求只接收來(lái)自指定IPv6組播源如SS……發(fā)來(lái)的IPv6組播信息，則其報(bào)告報(bào)文中可以標(biāo)記為INCLUDE Sources（S1，S2，……） 若拒絕接收來(lái)自指定IPv6組播源如SS……發(fā)來(lái)的IPv6組播信息，則其報(bào)告報(bào)文中可以標(biāo)記為EXCLUDE Sources（S1，S2，……）如下圖所示，網(wǎng)絡(luò)中存在Source 1（S1）和Source 2（S2）兩個(gè)IPv6組播源，均向IPv6組播組G發(fā)送IPv6組播報(bào)文。Host B僅對(duì)從Source 1發(fā)往G的信息感興趣，而對(duì)來(lái)自Source 2的信息沒(méi)有興趣。指定源組播的組播流量路徑如果主機(jī)與路由器之間運(yùn)行的是MLDv1，Host B加入IPv6組播組G時(shí)無(wú)法對(duì)IPv6組播源進(jìn)行選擇，因此無(wú)論Host B是否需要，來(lái)自Source 1和Source 2的IPv6組播信息都將傳遞給Host B。當(dāng)主機(jī)與路由器之間運(yùn)行了MLDv2之后，Host B就可以要求只接收來(lái)自Source 發(fā)往G的IPv6組播信息（S1，G），或要求拒絕來(lái)自Source 發(fā)往G的IPv6組播信息（S2，G），這樣就只有來(lái)自Source 1的IPv6組播信息才能傳遞給Host B了。MLD Snooping技術(shù)MLD Snooping是Multicast Listener Discovery Snooping（組播偵聽(tīng)者發(fā)現(xiàn)協(xié)議窺探）的簡(jiǎn)稱。它是運(yùn)行在二層設(shè)備上的IPv6組播約束機(jī)制，用于管理和控制IPv6組播組。運(yùn)行MLD Snooping的二層設(shè)備通過(guò)對(duì)收到的MLD報(bào)文進(jìn)行分析，為端口和MAC組播地址建立起映射關(guān)系，并根據(jù)這樣的映射關(guān)系轉(zhuǎn)發(fā)IPv6組播數(shù)據(jù)。如下圖所示，當(dāng)二層設(shè)備沒(méi)有運(yùn)行MLD Snooping時(shí)，IPv6組播數(shù)據(jù)報(bào)文在二層被廣播；當(dāng)二層設(shè)備運(yùn)行了MLD Snooping后，已知IPv6組播組的組播數(shù)據(jù)報(bào)文不會(huì)在二層被廣播，而在二層被組播給指定的接收者。圖8 MLD Snooping技術(shù)簡(jiǎn)介 在XX學(xué)校部署IPv6可控組播的建議H3C可控組播技術(shù)解決在園區(qū)網(wǎng)的部署組播的同時(shí)，需要對(duì)組播進(jìn)行控制的環(huán)境中，對(duì)組播流量進(jìn)行控制?？煽亟M播技術(shù)能夠滿足如下要求：1． 對(duì)組播源的嚴(yán)格控制，能夠阻止未被授權(quán)的組播流的發(fā)送。2． 對(duì)組播接收者的嚴(yán)格控制，能夠阻止特定的用戶對(duì)未授權(quán)的組播流量的獲取。3． 對(duì)用戶身份的控制，能夠針對(duì)用戶的身份進(jìn)行組播的授權(quán)。4． 抑制二層組播報(bào)文，使其無(wú)法在接入層泛濫。5． 能夠與現(xiàn)有的認(rèn)證計(jì)費(fèi)系統(tǒng)配合，達(dá)到平滑升級(jí)的目的。通過(guò)部署可控組播技術(shù)，園區(qū)網(wǎng)的管理者能夠?qū)尤刖W(wǎng)絡(luò)的組播流量及接收者進(jìn)行控制，達(dá)到對(duì)組播業(yè)務(wù)的可部署，可管理，可運(yùn)營(yíng)要求。組播源控制對(duì)組播源的控制的實(shí)質(zhì)是對(duì)網(wǎng)絡(luò)中組播節(jié)目的控制，保證只有被授權(quán)的節(jié)目才能夠在網(wǎng)絡(luò)中傳輸。在一個(gè)組播業(yè)務(wù)需要被發(fā)布之前，組播的提供者必須向園區(qū)網(wǎng)的管理者申請(qǐng)，管理者經(jīng)過(guò)對(duì)組播業(yè)務(wù)的評(píng)審后，提供用于組播源發(fā)送的相關(guān)參數(shù)，包括組播源地址，組播組地址，所用帶寬等必要信息。當(dāng)接入組播服務(wù)后，管理者回收這些信息。當(dāng)組播業(yè)務(wù)的提供者將組播流量發(fā)送到網(wǎng)絡(luò)中后，需要提供給組播接收者接收組播數(shù)據(jù)的方式，一般來(lái)說(shuō)，建議采用WEB網(wǎng)頁(yè)的方式進(jìn)行組播業(yè)務(wù)的的發(fā)布。針對(duì)組播源的控制用于保證只有已申請(qǐng)并被授權(quán)的組播源才能夠發(fā)組播報(bào)文進(jìn)入網(wǎng)絡(luò)。H3C目前提供的組播源的控制方法如下：目前H3C對(duì)組播源控制采用靜態(tài)授權(quán)：即園區(qū)網(wǎng)管理者為組播源分配源地址、組播地址、帶寬等必要信息之后，通過(guò)在與組播源直接相連的邊緣交換機(jī)上配置ACL，完成長(zhǎng)期性的授權(quán)，直到組播提供者終止組播業(yè)務(wù)時(shí)取消授權(quán)。在接入層及網(wǎng)絡(luò)出口設(shè)備上，還需要配置在缺省情況下禁止轉(zhuǎn)發(fā)接收的IPv6組播報(bào)文，這樣配置后，除非組播流量符合配置的組播ACL參數(shù)，才能夠被轉(zhuǎn)發(fā)。這樣就限制了在一個(gè)園區(qū)網(wǎng)內(nèi)部，只能使用被授權(quán)的組播流量。組播接收者控制對(duì)組播接收者進(jìn)行控制，主要是在網(wǎng)絡(luò)邊緣設(shè)備上對(duì)終端用戶的組播接收權(quán)限進(jìn)行控制，對(duì)用戶的組播權(quán)限控制應(yīng)是動(dòng)態(tài)的過(guò)程，在用戶使用組播前動(dòng)態(tài)下發(fā)到網(wǎng)絡(luò)邊緣設(shè)備上并且應(yīng)當(dāng)能夠與現(xiàn)有的認(rèn)證計(jì)費(fèi)系統(tǒng)配合，做到對(duì)組播用戶的計(jì)費(fèi)。H3C結(jié)合用戶認(rèn)證技術(shù)提供了對(duì)組播接收者的控制技術(shù)，當(dāng)一個(gè)用戶接入網(wǎng)絡(luò)時(shí)，在確認(rèn)身份后，結(jié)合組播控制服務(wù)器，對(duì)特定用戶的組播權(quán)限進(jìn)行實(shí)時(shí)控制。用戶的組播權(quán)限的下發(fā)是使用H3C的User Profile技術(shù)，User Profile提供一個(gè)配置模板，能夠保存預(yù)設(shè)配置（一系列配置的集合）。用戶可以根據(jù)不同的應(yīng)用場(chǎng)景為User Profile配置不同的內(nèi)容，比如CAR（Committed Access Rate，承諾訪問(wèn)速率）策略和QoS（Quality of Service，服務(wù)質(zhì)量）策略等。在設(shè)備上配置的組播權(quán)限是包含在User Profile中的，當(dāng)用戶上線時(shí)，會(huì)通過(guò)H3C iMC下發(fā)對(duì)應(yīng)的User Profile，對(duì)用戶的組播權(quán)限進(jìn)行動(dòng)態(tài)授權(quán)。如下圖所示，一個(gè)組播用戶在網(wǎng)絡(luò)中獲得組播權(quán)限的過(guò)程如下：可控組播技術(shù)簡(jiǎn)介1． 當(dāng)用戶接入網(wǎng)絡(luò)時(shí)。2． 當(dāng)用戶通過(guò)認(rèn)證后，根據(jù)在服務(wù)器側(cè)針對(duì)此用戶設(shè)置的組播用戶控制權(quán)限，向接入層交換機(jī)下發(fā)對(duì)應(yīng)此用戶的組播控制權(quán)限，這個(gè)權(quán)限以UserProfile為表現(xiàn)形式。3． 當(dāng)用戶需要接收組播流量時(shí)，發(fā)送MLD的組播組通告報(bào)文，當(dāng)MLD報(bào)文經(jīng)過(guò)接入交換機(jī)時(shí)，接入交換機(jī)通過(guò)比較下發(fā)的針對(duì)此用戶的User Profile包含的過(guò)濾信息，將已經(jīng)授權(quán)的組播加