【文章內容簡介】 ND報文的可信性及安全性。再配合DHCP Trust與RA Trust功能，禁止非法的DHCP報文與RA報文發(fā)送，從多方面提升了ND協(xié)議的安全性，解決了在IPv6網絡中存在的ND攻擊問題。 IPv6外網流量的分析控制隨著園區(qū)IT技術的飛速發(fā)展，網絡正逐步改變著科研人員的工作方式和生活方式，豐富的數(shù)字化應用成為當今數(shù)字化發(fā)展的一個主題。網絡的開放性，互連性，共享性程度的擴大，使網絡安全問題變得越來越重要。然而網絡安全問題，也明顯出現(xiàn)了上升態(tài)勢，經?？梢栽诰W絡中心的工作記錄上看到像網上發(fā)布非法言論、發(fā)送帶病毒附件的郵件、P2P帶寬濫用、DDoS攻擊、PC機不裝殺毒軟件、Windows終端不打補丁、ARP攻擊、篡改IP/MAC地址等各種網絡信息安全相關問題。顯然做好安全加固工作刻不容緩，安全問題已經威脅了駐地網的前進和發(fā)展的步伐。 外網流量分析控制包括了應用控制網關和用戶安全執(zhí)行中心，完成行為識別、行為控制、行為審計三大環(huán)節(jié)。行為識別：ACG采用H3C專利技術UAAE（智能應用感知引擎），具備強大的應用識別能力，可識別P2P、非法網站訪問等行為；行為控制：ACG通過阻斷、限流、過濾等方式實現(xiàn)用戶行為精細化控制控制，有效解決帶寬濫用、訪問非法網站感染病毒等問題；行為審計：用戶安全執(zhí)行中心對ACG檢測出的網絡安全事件進行深入分析并輸出審計報告，同時收集防火墻發(fā)送的NAT日志，幫助管理員全面了解用戶行為和流量趨勢，為加強整網安全、滿足合規(guī)性要求提供決策依據。管控基本原理行為識別在出口上實現(xiàn)用戶行為管控，首先必須對用戶行為做到精確識別，ACG通過深度應用流量識別，可根據特征識別網絡中的各種P2P應用協(xié)議和流量，同時可以通過深度行為分析識別用戶各種上網行為；防火墻對相關應用進行NAT地址轉換并作記錄。行為控制 在精確識別用戶行為的基礎上，必須能對非法的行為進行控制。根據駐地網的實際情況，在ACG上配置流控策略和過濾策略，ACG在識別用戶行為后根據相關策略，對用戶行為進行細粒度的控制。行為審計根據公安部82號令的要求，網絡管理者或者運營者必須記錄并留存用戶登錄和退出時間、主叫號碼、帳號、互聯(lián)網地址或域名等信息，能夠記錄并留存用戶使用的互聯(lián)網網絡地址和內部網絡地址對應關系，并保留3個月以上的上網日志信息備查。用戶安全執(zhí)行中心收集ACG記錄的用戶應用訪問信息和防火墻發(fā)送的NAT日志，對HTTP、Email、FTP、IM等行為進行分析，記錄網頁域名、地址、郵件收發(fā)人、主題、附件名、FTP上傳下載文件等內容，實時輸出用戶行為審計報告，滿足公安部第82號令和駐地網上網行為審計要求。當發(fā)生安全事故后，可以根據記錄的信息對用戶既往行為進行分析和追根朔源，對潛在的破壞者可起到威懾作用。實踐應用之：P2P帶寬濫用訪問控制ACG根絕特征識別網絡中的各種P2P應用協(xié)議和流量，可支持Thunder（迅雷）、BitTorrent、eMule（電騾）、eDonkey（電驢）、PPLive等常見P2P應用。ACG基于用戶、IP、應用、時間段的任意組合進行多維度細粒度的控制，可提供阻斷、限流等多種控制方式，并可提供應用控制黑白名單功能，實現(xiàn)對于P2P的帶寬控制。用戶安全執(zhí)行中心根據ACG發(fā)送的信息，提供P2P的分布和趨勢、P2P協(xié)議的排名、單協(xié)議的流量分布和趨勢、TOPN用戶分布、用戶流量數(shù)據和趨勢等分析，幫助管理員分析網絡中的P2P流量。實踐應用之：非法HTTP訪問控制ACG通過URL識別用戶對非法網站的訪問，可通過自定義IP地址、主機名、正則表達式等方式設置URL特征庫；防火墻進行NAT地址轉換并記錄相關信息。ACG進行URL及關鍵字過濾、上傳下載文件過濾、并可根據不同的URL策略和時間表設置不同的響應方式，避免保密信息的外泄，免受非法信息的干擾，確保網絡的健康使用。用戶安全執(zhí)行中心記錄防火墻發(fā)送的NAT前后地址信息，記錄ACG發(fā)送的網頁IP、域名、訪問用戶、訪問時間等信息，滿足公安部82號令要求。用戶安全執(zhí)行中心記錄防火墻發(fā)送的NAT前后地址信息，記錄ACG發(fā)送的發(fā)送的郵件服務器IP、用戶IP、收發(fā)件人、郵件標題、附件標題、時間等信息，滿足公安部82號令要求。通過出口行為管控，不但解決了駐地網用戶通過P2P下載造成網速變慢問題，還解決了通過訪問非法網站帶來的安全和政治問題，并且可以實現(xiàn)詳盡的用戶上網行為審計，同時滿足了駐地網網絡的管理要求和合規(guī)性要求。第5章 IPv6組播業(yè)務部署 組播技術概述組播是指在IP網絡中將數(shù)據包以盡力傳送的形式發(fā)送到某個確定的節(jié)點集合（即組播組），其基本思想是：源主機（即組播源）只發(fā)送一份數(shù)據，其目的地址為組播組地址；組播組中的所有接收者都可收到同樣的數(shù)據拷貝，并且只有組播組內的主機可以接收該數(shù)據，而其它主機則不能收到。組播技術有效地解決了單點發(fā)送、多點接收的問題，實現(xiàn)了IP網絡中點到多點的高效數(shù)據傳送，能夠大量節(jié)約網絡帶寬、降低網絡負載。作為一種與單播和廣播并列的通信方式，組播的意義不僅在于此。更重要的是，可以利用網絡的組播特性方便地提供一些新的增值業(yè)務，如在線直播、網絡電視、遠程教育、遠程醫(yī)療、網絡電臺、實時視頻會議等互聯(lián)網的信息服務領域。 IPv6組播技術介紹組播技術的實現(xiàn)需要解決以下幾方面問題：178。 組播源向一組確定的接收者發(fā)送信息，而如何來標識這組確定的接收者？178。 接收者通過加入組播組來實現(xiàn)對組播信息的接收，而接收者是如何動態(tài)地加入或離開組播組的？178。 組播報文在網絡中是如何被轉發(fā)并最終到達接收者的？IPv6組播地址在IPv6中，使用組播組地址來確定一個組播組的接收者。一個節(jié)點可能屬于多個組播組。發(fā)往組播地址的報文被組播地址標識的所有接口接收。圖5 IPv6組播地址格式IPv6組播地址的格式如上圖所示，其中各字段的含義如下：(1) 0xFF：最高8比特為11111111，標識此地址為組播地址。(2) Flags：4比特。如圖2所示，F(xiàn)lags字段中各位的取值如下：圖6 Flags字段格式252。 最高位為保留位，必須為 0。252。 R bit：取0表示非內嵌RP的組播地址；取1則表示內嵌RP的組播地址，此時P、T位都必須置1。252。 P bit：取0表示非基于單播前綴的組播地址；取1則表示基于單播前綴的組播地址，此時T位也必須置1。252。 T bit：取0表示永久分配組播地址；取1則表示非永久分配的組播地址。(3) Scope：4比特，用于標識此組播組的應用范圍，其取值及含義如表1所示。表1 Scope字段的取值及其含義(4) Group ID：112比特，組播組標識號。用來在由Scope字段所指定的范圍內唯一標識組播組，該標識可能是永久分配的或臨時的，這由Flags字段的T位決定。IPv6組播MAC地址IPv6組播MAC地址的高16位為0x3333，低32位為IPv6組播地址的低32位。如下圖所示，是IPv6組播地址FF1E::F30E:101的MAC地址映射舉例。圖7 IPv6組播MAC地址如上圖所示，IPv6的組播MAC地址為將128 bit的IPv6組播地址的低32bit：F30E0101直接映射到了MAC地址的低32bit中。組播組管理協(xié)議組成員關系管理是指在路由器/交換機上建立直聯(lián)網段內的組成員關系信息，具體說，就是管理各接口/端口下有哪些組播組的成員。在IPv6中使用MLD協(xié)議作為組播組管理協(xié)議，MLD是運行于主機和與主機直連的路由器之間，其實現(xiàn)的功能是雙向的：一方面，主機通過MLD報告通知路由器希望接收某個特定組播組的信息；另一方面，路由器通過MLD查詢周期性地查詢局域網內的組播組成員是否處于活動狀態(tài)，實現(xiàn)所連網段組成員關系的收集與維護。通過MLD協(xié)議，在路由器中記錄的信息是某個組播組是否在本地有組成員，而不是組播組與主機之間的對應關系。目前MLD有以下兩個版本：MLDv1（RFC 2710）對應IGMP v2MLDv2（RFC 3810）對應IGMP v3 MLDv2原理簡介MLDv2的原理與MLDv1基本相同，并新增了一些特性：對IPv6組播源的過濾MLDv2增加了針對IPv6組播源的過濾模式（INCLUDE/EXCLUDE），使主機在加入某IPv6組播組G的同時，能夠明確要求接收或拒絕來自某特定IPv6組播源S的IPv6組播信息。當主機加入IPv6組播組時：若要求只接收來自指定IPv6組播源如SS……發(fā)來的IPv6組播信息，則其報告報文中可以標記為INCLUDE Sources（S1，S2，……） 若拒絕接收來自指定IPv6組播源如SS……發(fā)來的IPv6組播信息，則其報告報文中可以標記為EXCLUDE Sources（S1，S2，……）如下圖所示，網絡中存在Source 1（S1）和Source 2（S2）兩個IPv6組播源，均向IPv6組播組G發(fā)送IPv6組播報文。Host B僅對從Source 1發(fā)往G的信息感興趣，而對來自Source 2的信息沒有興趣。指定源組播的組播流量路徑如果主機與路由器之間運行的是MLDv1，Host B加入IPv6組播組G時無法對IPv6組播源進行選擇，因此無論Host B是否需要，來自Source 1和Source 2的IPv6組播信息都將傳遞給Host B。當主機與路由器之間運行了MLDv2之后，Host B就可以要求只接收來自Source 發(fā)往G的IPv6組播信息（S1，G），或要求拒絕來自Source 發(fā)往G的IPv6組播信息（S2，G），這樣就只有來自Source 1的IPv6組播信息才能傳遞給Host B了。MLD Snooping技術MLD Snooping是Multicast Listener Discovery Snooping（組播偵聽者發(fā)現(xiàn)協(xié)議窺探）的簡稱。它是運行在二層設備上的IPv6組播約束機制，用于管理和控制IPv6組播組。運行MLD Snooping的二層設備通過對收到的MLD報文進行分析，為端口和MAC組播地址建立起映射關系，并根據這樣的映射關系轉發(fā)IPv6組播數(shù)據。如下圖所示，當二層設備沒有運行MLD Snooping時，IPv6組播數(shù)據報文在二層被廣播；當二層設備運行了MLD Snooping后，已知IPv6組播組的組播數(shù)據報文不會在二層被廣播，而在二層被組播給指定的接收者。圖8 MLD Snooping技術簡介 在XX學校部署IPv6可控組播的建議H3C可控組播技術解決在園區(qū)網的部署組播的同時，需要對組播進行控制的環(huán)境中，對組播流量進行控制?？煽亟M播技術能夠滿足如下要求：1． 對組播源的嚴格控制，能夠阻止未被授權的組播流的發(fā)送。2． 對組播接收者的嚴格控制，能夠阻止特定的用戶對未授權的組播流量的獲取。3． 對用戶身份的控制，能夠針對用戶的身份進行組播的授權。4． 抑制二層組播報文，使其無法在接入層泛濫。5． 能夠與現(xiàn)有的認證計費系統(tǒng)配合，達到平滑升級的目的。通過部署可控組播技術，園區(qū)網的管理者能夠對接入網絡的組播流量及接收者進行控制，達到對組播業(yè)務的可部署，可管理，可運營要求。組播源控制對組播源的控制的實質是對網絡中組播節(jié)目的控制，保證只有被授權的節(jié)目才能夠在網絡中傳輸。在一個組播業(yè)務需要被發(fā)布之前，組播的提供者必須向園區(qū)網的管理者申請，管理者經過對組播業(yè)務的評審后，提供用于組播源發(fā)送的相關參數(shù)，包括組播源地址，組播組地址，所用帶寬等必要信息。當接入組播服務后，管理者回收這些信息。當組播業(yè)務的提供者將組播流量發(fā)送到網絡中后，需要提供給組播接收者接收組播數(shù)據的方式，一般來說，建議采用WEB網頁的方式進行組播業(yè)務的的發(fā)布。針對組播源的控制用于保證只有已申請并被授權的組播源才能夠發(fā)組播報文進入網絡。H3C目前提供的組播源的控制方法如下：目前H3C對組播源控制采用靜態(tài)授權：即園區(qū)網管理者為組播源分配源地址、組播地址、帶寬等必要信息之后，通過在與組播源直接相連的邊緣交換機上配置ACL，完成長期性的授權，直到組播提供者終止組播業(yè)務時取消授權。在接入層及網絡出口設備上，還需要配置在缺省情況下禁止轉發(fā)接收的IPv6組播報文，這樣配置后，除非組播流量符合配置的組播ACL參數(shù)，才能夠被轉發(fā)。這樣就限制了在一個園區(qū)網內部，只能使用被授權的組播流量。組播接收者控制對組播接收者進行控制，主要是在網絡邊緣設備上對終端用戶的組播接收權限進行控制，對用戶的組播權限控制應是動態(tài)的過程，在用戶使用組播前動態(tài)下發(fā)到網絡邊緣設備上并且應當能夠與現(xiàn)有的認證計費系統(tǒng)配合，做到對組播用戶的計費。H3C結合用戶認證技術提供了對組播接收者的控制技術，當一個用戶接入網絡時，在確認身份后，結合組播控制服務器，對特定用戶的組播權限進行實時控制。用戶的組播權限的下發(fā)是使用H3C的User Profile技術，User Profile提供一個配置模板，能夠保存預設配置（一系列配置的集合）。用戶可以根據不同的應用場景為User Profile配置不同的內容，比如CAR（Committed Access Rate，承諾訪問速率）策略和QoS（Quality of Service，服務質量）策略等。在設備上配置的組播權限是包含在User Profile中的，當用戶上線時，會通過H3C iMC下發(fā)對應的User Profile，對用戶的組播權限進行動態(tài)授權。如下圖所示，一個組播用戶在網絡中獲得組播權限的過程如下：可控組播技術簡介1． 當用戶接入網絡時。2． 當用戶通過認證后，根據在服務器側針對此用戶設置的組播用戶控制權限，向接入層交換機下發(fā)對應此用戶的組播控制權限，這個權限以UserProfile為表現(xiàn)形式。3． 當用戶需要接收組播流量時，發(fā)送MLD的組播組通告報文，當MLD報文經過接入交換機時，接入交換機通過比較下發(fā)的針對此用戶的User Profile包含的過濾信息，將已經授權的組播加