【正文】 只有同時(shí)支持兩種協(xié)議，并且可以把它們聯(lián)系起來(lái)分析，才能做到更安全。這也對(duì)現(xiàn)在的安全產(chǎn)品提出新的問(wèn)題。防火墻和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)不明白受害機(jī)器在做什么，所有的保護(hù)主機(jī)的工作幾乎都交給了 HIDS，而被攻破的主機(jī)上還能留下多少可信的證據(jù)，沒有人能知道。 11 / 38 取證在網(wǎng)絡(luò)遭到入侵后，取證和查找原因也是相當(dāng)關(guān)鍵的。除此之外，基于主機(jī)的 HIDS 只能知道它所保護(hù)的主機(jī)的信息，卻很難收集到其他主機(jī)的信息，甚至由于它運(yùn)行在應(yīng)用層而很難得到底層的網(wǎng)絡(luò)信息。 HIDS 運(yùn)行于被保護(hù)的主機(jī)系統(tǒng)中，監(jiān)視文件系統(tǒng)或者操作系統(tǒng)(OS)及各種服務(wù)生成的日志文件，以便發(fā)現(xiàn)入侵蹤跡。但是在對(duì)待被加密的 IPv6 數(shù)據(jù)方面，NIDS 有著和包過(guò)濾防火墻同樣的尷尬。 NIDS 直接從網(wǎng)絡(luò)數(shù)據(jù)流中截獲所需的審計(jì)數(shù)據(jù)并從中搜索可疑行為。 入侵檢測(cè) 一般來(lái)說(shuō)，入侵檢測(cè)（IDS）是防火墻后的第二道安全屏障。因此防火墻就無(wú)從知道 TCP/UDP 端口號(hào)。使用了 IPv6 加密選項(xiàng)后，數(shù)據(jù)是加密傳輸?shù)?，由?IPsec 的加密功能提供的是端到端的保護(hù)，并且可以任選加密算法，密鑰是不公開的。防火墻必須逐個(gè)找到下一個(gè)報(bào)頭，直到 TCP/UDP 報(bào)頭為止，才能進(jìn)行過(guò)濾，這對(duì)防火墻的處理性能會(huì)有很大的影響。在 IPv4 中，IP 報(bào)頭和 TCP 報(bào)頭是緊接在一起的，而且其長(zhǎng)度基本是固定的，所以防火墻很容易找到報(bào)頭，并使用相應(yīng)的過(guò)濾規(guī)則。此外，在用 UDP 實(shí)現(xiàn) ESP 的情況下，因雙方都要求源端口號(hào)和目的端口號(hào)為 500，如進(jìn)行地址轉(zhuǎn)換就要變換端口號(hào)，則不能正常工作。當(dāng)只用 ESP 對(duì)分組認(rèn)證/加密時(shí)，因?yàn)镮P 報(bào)頭不在認(rèn)證范圍內(nèi)，乍一看地址轉(zhuǎn)換不會(huì)出現(xiàn)問(wèn)題，但即使在這種情況下也只能作一對(duì)一的地址轉(zhuǎn)換，而不能由多個(gè)對(duì)話共用一個(gè) IP 地址。但由于地址轉(zhuǎn)換技術(shù)（NAT）和 IPsec 在功能上不匹配，很難穿越地址轉(zhuǎn)換型防火墻利用 IPsec 進(jìn)行通信[3]。除了應(yīng)用代理型防火墻工作在應(yīng)用層，受到 IPv6 的影響比較小之外，其他的兩種都受到了幾乎是致命的沖擊。IPv6 的安全機(jī)制對(duì)他們的沖擊可能是巨大的，甚至是致命的。另外，當(dāng)前的網(wǎng)絡(luò)安全體系是基于現(xiàn)行的 IPv4 協(xié)議的。而當(dāng)今網(wǎng)絡(luò)發(fā)展的趨勢(shì)是帶寬的增長(zhǎng)速度遠(yuǎn)遠(yuǎn)大于 CPU 主頻的增長(zhǎng)。同時(shí)，由于 IPv6 引進(jìn)了加密和認(rèn)證，還可能產(chǎn)生新的攻擊方式。并且，在 IPv6 中還保留著很多原來(lái) IPv4 中的選項(xiàng)，如分片，TTL。即使僅僅從網(wǎng)絡(luò)層來(lái)看，IPv6 也不是十全十美的。這里面有很多原因，最重要的是，安全包含著各個(gè)層次，各個(gè)方面的問(wèn)題，不是僅僅由一個(gè)安全的網(wǎng)絡(luò)層就可以解決得了的。路由器和交換機(jī)對(duì) IPSec 的完善支持保證了網(wǎng)絡(luò)數(shù)據(jù)和信息內(nèi)容的有效性、一致性以及完整性，并且為網(wǎng)絡(luò)安全提供了諸多解決辦法?！　?duì)于物理層的安全隱患，可以通過(guò)配置冗余設(shè)備、冗余線路、安全供電、保障電磁兼容環(huán)境以及加強(qiáng)安全管理來(lái)防護(hù)。當(dāng)配置了 IPSec 的主機(jī)通過(guò)安全隧道接入到配置了 IPSee 網(wǎng)關(guān)的路由器，并且該路由器作為外部隧道的終結(jié)點(diǎn)將外部隧道封裝剝除時(shí)，嵌套的內(nèi)部安全隧道就構(gòu)成了對(duì)內(nèi)部網(wǎng)絡(luò)的安全隔離?！　、?通過(guò)隧道嵌套實(shí)現(xiàn)網(wǎng)絡(luò)安全。在路由器之間建立 IPSec 的安全隧道，構(gòu)成安全的 VPN 是最常用的安全網(wǎng)絡(luò)組建方式。　?、?通過(guò)安全隧道構(gòu)建安全的 VPN。因?yàn)?IPSec 作為 IPv6 的擴(kuò)展報(bào)頭不能被中間路由器而只能被目的節(jié)點(diǎn)解析處理，因此 IPSec 網(wǎng)關(guān)可以通過(guò) IPSec 隧道的方式實(shí)現(xiàn)，也可以通過(guò) IPv6 擴(kuò)展頭中提供的路由頭和逐跳選項(xiàng)頭結(jié)合應(yīng)用層網(wǎng)關(guān)技術(shù)來(lái)實(shí)現(xiàn)?！　、?對(duì)內(nèi)部網(wǎng)絡(luò)的保密。2. 網(wǎng)絡(luò)安全　　① 端到端的安全保證。通過(guò)對(duì) IPv6 所提供的新的安全機(jī)制的介紹，我們可以看出， IPv6 可以進(jìn)行身份認(rèn)證，并且可以保證數(shù)據(jù)包的完整性和機(jī)密性，所以在安全性方面，IPv6 有了質(zhì)的飛躍. 協(xié)議安全與網(wǎng)絡(luò)安全1. 協(xié)議安全　　在協(xié)議安全層面上，IPv6 全面支持認(rèn)證頭（AH）認(rèn)證和封裝安全有效負(fù)荷（ESP ）信息安全封裝擴(kuò)展頭。在傳輸模式中，如果有 AH，IP 報(bào)頭以及選路擴(kuò)展報(bào)頭或分段擴(kuò)展報(bào)頭都在 AH 之前，其后跟隨 ESP 報(bào)頭, 這樣，首先進(jìn)行身份驗(yàn)證，然后再對(duì)ESP 解密。 ESP 報(bào)頭可以和 AH 結(jié)合使用。使用隧道模式時(shí)，ESP 報(bào)頭對(duì)整個(gè) IP 數(shù)據(jù)包進(jìn)行封裝，并作為 IP 報(bào)頭的擴(kuò)展將數(shù)據(jù)包定向到安全性網(wǎng)關(guān)。它可以在主機(jī)之間或安全網(wǎng)關(guān)之間使用，以保證更多的安全。 ESP 使用的缺省密碼算法是密碼分組鏈接方式的數(shù)據(jù)加密標(biāo)準(zhǔn)（DESCBC ） 。  （3）通過(guò)由 AH 提供的序列號(hào)機(jī)制提供對(duì)抗重放服務(wù)。 Distributed Environment）是世界上最早的 IPv6 研究機(jī)構(gòu)，該2 / 38組織于 1988 ，WIDE 的目的只是建立大規(guī)模廣域分散網(wǎng)絡(luò)環(huán)境，后來(lái)開展 IPv6 的研究，進(jìn)行 IPv6 協(xié)議的開發(fā)和標(biāo)準(zhǔn)的制定工作，并逐步變成一個(gè)國(guó)際，WIDE 研究成員已經(jīng)達(dá)到 100 多個(gè)國(guó)際公司、40 外，IPv6 推進(jìn)會(huì)（IPv6 Promotion Council of Japan）也是一個(gè)非常重要的官產(chǎn)學(xué)研相結(jié)合的組織，該組織于 2022 年成立，目的在于推動(dòng) IPv6 的產(chǎn)業(yè)化. 日本的運(yùn)營(yíng)商第一個(gè)開始向國(guó)內(nèi)提供 IPv6 商業(yè)服務(wù) .NTT 一直是 IPv6 應(yīng)用的領(lǐng)航者，在 1999 年 9 月正式成為第一個(gè)商用業(yè)務(wù)提供商，并于 2022 年 4 月首次在日本推出付費(fèi)的商用 IPv6 ，NTT Com、Japan Tele 和 KDDI 等日本的主要運(yùn)營(yíng)商和 ISP 幾乎都已經(jīng)提供 IPv6 IPv6 業(yè)務(wù) .NTT Europe 在 2022 年 2 月向歐洲推出了 IPv6 還與 Verio 聯(lián)合建立了跨越日本、歐洲和美國(guó)的全球 IPv6 商用骨干網(wǎng)， 2022 年下半年在美國(guó)首次推出商用的 IPv6 ，除日本本土之外， NTT/Verio 已經(jīng)成功地推出 IPv6 商用服務(wù)的國(guó)家、地區(qū)已經(jīng)達(dá)到 10 個(gè)，包括澳大利亞、馬來(lái)西亞、香港、臺(tái)灣、英國(guó)、法國(guó)、西班牙、美國(guó)、德國(guó)、韓國(guó)等. 在政府的大力支持下，日本企業(yè)對(duì) IPv6 產(chǎn)品的研發(fā)與生產(chǎn)也開展得熱火朝天，日立、NEC、富士通等等是世界上最早實(shí)現(xiàn) IPv6 硬件支持的網(wǎng)絡(luò)設(shè)備廠商 .此外，日本的 IPv6終端設(shè)備研制速度也相當(dāng)快，索尼、東芝、日立、松下等主要信息終端廠商的產(chǎn)品都已經(jīng)開始支持 IPv6 協(xié)議. 韓國(guó)政府對(duì) IPv6 IPv6 的演進(jìn)進(jìn)程，共分（2022 年以前）建立 IPv6 試驗(yàn)網(wǎng)，開展驗(yàn)證、運(yùn)行和宣傳工作；第二階段（2022～2022）建立了 IPv6 島，與現(xiàn)有 IPv4 大網(wǎng)互通，在 IMT2022 上提供 IPv6服務(wù)；第三階段（2022～2022 年）建立 IPv6 大網(wǎng)，原 IPv4 大網(wǎng)退化為 IPv4 島，與IPv6 大網(wǎng)互通，提供有線和無(wú)線的 IPv6 商用服務(wù)；第四階段（2022 年后）演進(jìn)成一個(gè)單純完整的 IPv6 網(wǎng). 由于美國(guó)是互聯(lián)網(wǎng)的發(fā)源地，所擁有 IPv4 地址數(shù)量達(dá)到每人約 10 個(gè) IP 地址，占全世界說(shuō)擁有地址數(shù)的 70%，基本上不存在缺乏的問(wèn)題，而且基于 IPv4 的互聯(lián)網(wǎng)還正在源源不斷地為美國(guó)帶來(lái)巨大的財(cái)富，也不愿意改動(dòng)花費(fèi)億萬(wàn)美金構(gòu)建的 IPv4 商業(yè)網(wǎng)絡(luò)體系，所以很長(zhǎng)一段時(shí)間以來(lái)，美國(guó)政府對(duì) IPv6 的發(fā)展的態(tài)度基本上是不溫不火，主要是幾個(gè)民間組織在跟蹤研究.3 / 38 美國(guó)的 Inter2 組織負(fù)責(zé)促進(jìn)包括 IPv6 在內(nèi)的下一代互聯(lián)網(wǎng)的部署和采用，它是一個(gè)由 180 多所大學(xué)領(lǐng)導(dǎo)的集團(tuán)，主要目標(biāo)是：為美國(guó)研究機(jī)構(gòu)創(chuàng)建一個(gè)前沿網(wǎng)絡(luò)；開創(chuàng)新的互聯(lián)網(wǎng)應(yīng)用；保證新的網(wǎng)絡(luò)（ES）是美國(guó)國(guó)家級(jí)的一個(gè)研究教育網(wǎng)，其主要工作是幫助世界上的研究教育網(wǎng)推出 IPv6 服務(wù)，旨在提供商用 IPv6過(guò)渡服務(wù). 不過(guò)，自 2022 年開始，出于對(duì)國(guó)家網(wǎng)絡(luò)安全保護(hù)的需要，美國(guó)政府也開始對(duì) IPv6，主要是 911 事件以后，恐怖分子的襲擊模式已經(jīng)沒有定式可言， 年 2 月，白宮發(fā)布網(wǎng)絡(luò)安全計(jì)劃，商務(wù)部將負(fù)責(zé)推動(dòng)下一代網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)（IPv6） 年 6 月，美國(guó)國(guó)防部發(fā)布了一份題為“IPv6” 的備忘錄，宣布將不再購(gòu)買不支持 IPv6 份備忘錄中，美國(guó)國(guó)防部宣稱要在美國(guó)軍方規(guī)劃實(shí)施的“全球信息網(wǎng)格（GIG） ”中全面部署 IPv6，并提出了具體的目標(biāo)：到 2022 財(cái)政年，在整個(gè)國(guó)防部的網(wǎng)絡(luò)之間和內(nèi)部網(wǎng)絡(luò)中完成向 IPv6 年 3 月，美國(guó)國(guó)防部最大的 IPv6 試驗(yàn)網(wǎng)絡(luò) Moonv6 完成第二階段測(cè)試，并已經(jīng)發(fā)布了測(cè)試結(jié)果. 歐洲由于在 IPv4 地址方面沒有亞洲那樣非常大的壓力，所以起初對(duì)于發(fā)展 IPv6 并，他們也不甘心在互聯(lián)網(wǎng)發(fā)展方面一直落后于美國(guó)，IPv6 讓歐洲，歐洲也擔(dān)心在今后的互聯(lián)網(wǎng)設(shè)備與應(yīng)用方面落后于日本等國(guó)家，唯恐過(guò)時(shí)再追趕又會(huì)來(lái)不及，又會(huì)因?yàn)樵俅温浜蠖冻龈蟮拇鷥r(jià)，所以他們也不敢掉以輕心而冒險(xiǎn)等待. 歐洲自 2022 年開始進(jìn)行 IPv6 IPv6 時(shí)，歐洲采用了一種與其他國(guó)家完全不同的模式，其基本策略是“先移動(dòng)，后固定 ”.這是因?yàn)?，歐洲的移動(dòng)通信事業(yè)相當(dāng)發(fā)達(dá)，第 3 代移動(dòng)通信（3G）網(wǎng)絡(luò)基本建成，首先在 3G 網(wǎng)絡(luò)中引入 IPv6 是水到渠成的 3G 標(biāo)準(zhǔn)的 3GPP 組織于 2022 年 5 月已經(jīng)決定以 IPv6 為基礎(chǔ)構(gòu)筑下一代移動(dòng) 能提供無(wú)數(shù)的地址空間，可以為無(wú)線應(yīng)用的新用戶提供巨大容量，是 3G 必須遵循的標(biāo)準(zhǔn)和發(fā)展 3G ，歐洲也期待著能夠利用 IPv6 使 3G 迎來(lái)明媚的春天. 歐洲在發(fā)展 IPv6 方面投入了很大的力量，先后推出了大大小小近 20 個(gè) IPv6 相關(guān)項(xiàng)目，包括 6INIT、6WINIT、WINE、Euro6IX、6NET 項(xiàng)目從 2022 開始，總投資 42 萬(wàn)歐元，該項(xiàng)目的目的在于，通過(guò)建立基于 IPv6 的運(yùn)行網(wǎng)和提高有關(guān) IPv6 部署問(wèn)4 / 38題在各公司間的認(rèn)知度，推進(jìn) IPv6 多媒體和安全服務(wù)在歐洲的使用 .該項(xiàng)目在 2022 年底結(jié)束后，其中的大多數(shù)參與者都留在 6WINIT（IPv6 無(wú)線互聯(lián)網(wǎng)行動(dòng)計(jì)劃）項(xiàng)目中繼續(xù) 項(xiàng)目的目的是有效地推進(jìn)基于 IPv6 與 GPRS 及 UMTS/3GPP 結(jié)合的新型移，為了加快 IPv6 在歐洲的引入和發(fā)展，歐洲還投資 155萬(wàn)歐元建立了 Euro6IX ，歐盟已經(jīng)投資 1 億多歐元用于 IPv6 的研究和開發(fā)項(xiàng)目.盡管歐洲的領(lǐng)導(dǎo)層都對(duì) IPv6 給予了厚望，但起初歐洲的各大運(yùn)營(yíng)商基本上都是處于左右為難、舉棋不定的狀態(tài)，他們主要是考慮到 IPv6 還有許多的問(wèn)題需要完善，加上要向 IPv6 過(guò)渡，就必須要對(duì)原來(lái)部署的大量設(shè)備和軟件等進(jìn)行更新?lián)Q代 .現(xiàn)在，也有少數(shù)，但歐洲的設(shè)備廠商在 IPv6的研發(fā)上可是不甘落后，諾基亞、愛立信等為代表的多數(shù)網(wǎng)絡(luò)設(shè)備商都相繼推出了各自的 IPv6 產(chǎn)品和解決方案. 6Bone 是世界上成立最早也是迄今規(guī)模最大的全球范圍的 IPv6 示范網(wǎng)，1996 年 8 月由 IETF ，6Bone 的規(guī)模已經(jīng)擴(kuò)展到包括中國(guó)在內(nèi)的近 60 個(gè)國(guó)家和地區(qū)，連接了近千個(gè)站點(diǎn)，成為 IPv6 研究者、開發(fā)者和實(shí)踐者的主要平臺(tái) . 6Bone 是一個(gè)全球性層次化的 IPv6 網(wǎng)絡(luò)，但它在物理上并不是一個(gè)純粹的 IPv6 網(wǎng)絡(luò)，它只是各個(gè)國(guó)家和地區(qū)組織維護(hù)的 IPv6 網(wǎng)絡(luò)孤島通過(guò)在基于 IPv4 的互聯(lián)網(wǎng)上利用隧道技術(shù)連接起來(lái)的一個(gè)虛擬 IPv6 網(wǎng)絡(luò). 6Bone 起先的主要工作是對(duì) IPv6 年 2 月，6Bone 實(shí)驗(yàn)網(wǎng)試驗(yàn)完成了 6Bone 骨干路由規(guī)則（6Bone Backbone Routing Guidelines），該規(guī)則最終被 IETF 接受為 RFC 2772 標(biāo)準(zhǔn)文稿，取代了 RFC 實(shí)驗(yàn)網(wǎng)還于2022 年 4 月發(fā)布了關(guān)于 BGP4+，6Bone 正致力于向?qū)崿F(xiàn)非隧道的 IPv6 本地化移植，其工作重點(diǎn)也轉(zhuǎn)向了 IPv4 向 IPv6 的過(guò)渡和運(yùn)營(yíng)模式等方面的研究與測(cè)試. 我國(guó)是 IPv6 研究工作啟動(dòng)較早的國(guó)家之一，我國(guó)政府對(duì) IPv6 在我國(guó)的發(fā)展也高度（CERNET）于 1998 年建立了國(guó)內(nèi)第一個(gè) IPv6 試驗(yàn)床CERNETv6，標(biāo)志著我國(guó) IPv6 研究工作進(jìn)入了實(shí)質(zhì)階段 .隨后，我國(guó)政府又開展了一系列 IPv6 年，國(guó)家自然科學(xué)基金聯(lián)合項(xiàng)目 “中國(guó)高速互聯(lián)研究試驗(yàn)網(wǎng) NSFCNET”啟動(dòng)；2022 年，信息產(chǎn)業(yè)部“下一代 IP 電信實(shí)驗(yàn)網(wǎng)（6TNet）” 項(xiàng)目啟動(dòng)，科技部 863 信息領(lǐng)域?qū)ｍ?xiàng)“高性能寬帶信息網(wǎng)（3T）”啟動(dòng)；2022 年，信息產(chǎn)業(yè)部頒發(fā)5 / 38首張 IPv6 核心路由器入網(wǎng)試用批文；由鄔賀銓院士出任專家組組長(zhǎng)的中國(guó)下一代互聯(lián)網(wǎng)示范項(xiàng)目（CNGI）全面啟動(dòng)，協(xié)和醫(yī)院等 SARS 定點(diǎn)醫(yī)院采用“IPv6 新一代網(wǎng)絡(luò)遠(yuǎn)程醫(yī)療、探視系統(tǒng)” 標(biāo)志著我國(guó) IPv6 已經(jīng)開始進(jìn)入商業(yè)試用階段. 雖然我國(guó)電信運(yùn)營(yíng)業(yè)改革起步較晚，但運(yùn)營(yíng)商們對(duì) IPv6 業(yè)務(wù)的研究工作也都開展得 2022 年中國(guó)電信啟動(dòng)《IPv6 總體技術(shù)方案 》項(xiàng)目的研究工作；接下來(lái)2022 年，中國(guó)電信在北京、上海、廣州和湖南進(jìn)行 IPv6 試驗(yàn)與測(cè)試工作，重慶網(wǎng)通信息港 IPv6 城域示范網(wǎng)項(xiàng)目；今年，各大運(yùn)營(yíng)商已經(jīng)全面啟動(dòng) IPv6 核心網(wǎng)絡(luò)建設(shè). 我國(guó)在 IPv6 國(guó)際交流與合作研究方面也做出了很大的貢獻(xiàn) .全球 IPv6 高峰論壇已經(jīng)連續(xù) 3 年在中國(guó)舉辦.“ 下一代互聯(lián)網(wǎng)中日 IPv6 合作項(xiàng)目”也已