【正文】 道容易引入DoS、地址盜用和服務欺騙，需要在入口處實施嚴格的過濾：IPv4數據過濾、IPv6數據過濾、協議端口過濾。IPv6特有的安全問題－ 掃描和探測：IPv6的子網數量巨大，增大了傳統的掃描掃描和蠕蟲類攻擊的難度。－ 無狀態(tài)地址自動分配：非授權用戶可以更容易的接入和使用網絡。－ 鄰居發(fā)現協議：等同于IPv4中的ARP協議，需防止DoS攻擊、中間人攻擊等。n 對IPv4的互聯網流量，利用原有的防御規(guī)則n 對IPv6的互聯網流量，需要利用新的IPv6訪問控制策略n 支持H3C iMC網管平臺n 骨干區(qū)域防御：n 利用H3C SecBlade插卡進行安全防御，結合H3C S95E及S75E實現安全一體化部署n 對原有的IPv4的內網訪問控制，在SecBlade上使用原有的策略n 對新建的IPv6網絡的關鍵資源保護，需要添加新的IPv6訪問控制策略n 支持H3C iMC網管平臺 IPv6接入安全防護的部署鄰居發(fā)現協議（Neighbor Discovery Protocol，以下稱ND協議）是IPv6的一個關鍵協議，可以說，ND協議是IPv4某些協議在IPv6中綜合起來的升級和改進，如ARP、ICMP路由器發(fā)現和ICMP重定向等協議。在IPv4網絡中，ARP攻擊問題已經為廣大的網絡管理者，設備廠商所認識，ARP攻擊能夠造成大面積網絡不能正常訪問外網，使得正常用戶深受其害。而伴隨著IPv6網絡的建設，在IPv6協議族中的NDP協議越來越被重視，而在ND協議的設計與ARP協議一樣并未提供認證機制，導致網絡中的主機是不可信的，從而使得針對ND協議的攻擊非常容易。如下圖所示： 圖1 RS/NS/NA仿冒攻擊示意圖如上圖所示，攻擊者能夠偽造NS/NA報文，發(fā)送給網關或受害主機，通過這種方式來對網關上受害主機的MAC地址或受害主機上的特定的MAC地址進行修改，這樣就造成了受害用戶無法接收到正常的數據報文。見下圖：圖2 DAD攻擊示意圖如上圖所示，在受害者進行DAD檢測時，攻擊者可以偽造NS報文，與受害者產生沖突，也可以偽造NA報文，應答受害者的NS報文。 RA攻擊RA能夠攜帶很多網絡配置信息，包括默認路由器，網絡前綴列表，是否使用DHCP服務器進行有狀態(tài)地址分配等網絡配置的關鍵信息。圖3 RA攻擊示意圖如上圖所示，攻擊者發(fā)送偽造的RA報文，其中可以造成多種攻擊： 1)偽造不存在的前綴，修改受害主機的路由表。 3)偽造DHCP服務器，同時偽造RA中的M bit，造成受害主機使用DHCP服務器分配到虛假的地址。圖4 泛洪攻擊示意圖攻擊者通過偽造大量的NS/RS報文，發(fā)送給網關，使得網關的表項溢出，造成網關無法提供正常的服務。我們可以推出發(fā)現當前ND攻擊防御的關鍵所在：如何獲取到合法用戶和網關的IPv6地址MAC對應關系，并如何利用該對應關系對ND報文進行檢查，過濾掉非法ND報文。再配合RA trust與DHCP trust對RA報文與DHCP報文進行限制，從而解決不同環(huán)境下的ND防攻擊問題。信任表項與ND Detection從前文的描述，我們知道，在局域網中ARP或ND攻擊的根本原因是無法對所交互的ARP或ND報文進行驗證，從而無法得知正確的用戶IP、MAC、端口的綁定信息，所以無法對異常的ND報文進行過濾，使得網絡中可能發(fā)生ARP/ND攻擊。通過這張表項，結合ND Detection技術，對異常的ND報文進行過濾，達到防止ND攻擊的效果。DHCP snooping：通過監(jiān)聽DHCP的交互過程，獲得用戶的IP、MAC、Port的綁定表項。在建立了綁定表項之后，能夠保證一個已經獲取了IP地址的用戶只能使用已獲取的地址進行通信，過濾掉所有的不在綁定表項中的IPv6的非法用戶發(fā)送的IP報文。相比單純使用ACL進行的用戶綁定，ND Detection技術結合綁定表項對ND報文進行過濾，能夠較好的防御ND攻擊。當進行了RA Trust與DHCP Trust后，DHCP的服務器端報文與RA報文只能從配置了TRUST的端口進入，避免了DHCP服務器欺騙與RA攻擊，提升了局域網安全性。再配合DHCP Trust與RA Trust功能，禁止非法的DHCP報文與RA報文發(fā)送，從多方面提升了ND協議的安全性，解決了在IPv6網絡中存在的ND攻擊問題。網絡的開放性，互連性，共享性程度的擴大，使網絡安全問題變得越來越重要。顯然做好安全加固工作刻不容緩，安全問題已經威脅了駐地網的前進和發(fā)展的步伐。行為識別：ACG采用H3C專利技術UAAE（智能應用感知引擎），具備強大的應用識別能力，可識別P2P、非法網站訪問等行為；行為控制：ACG通過阻斷、限流、過濾等方式實現用戶行為精細化控制控制，有效解決帶寬濫用、訪問非法網站感染病毒等問題；行為審計：用戶安全執(zhí)行中心對ACG檢測出的網絡安全事件進行深入分析并輸出審計報告，同時收集防火墻發(fā)送的NAT日志，幫助管理員全面了解用戶行為和流量趨勢，為加強整網安全、滿足合規(guī)性要求提供決策依據。行為控制 在精確識別用戶行為的基礎上，必須能對非法的行為進行控制。行為審計根據公安部82號令的要求，網絡管理者或者運營者必須記錄并留存用戶登錄和退出時間、主叫號碼、帳號、互聯網地址或域名等信息，能夠記錄并留存用戶使用的互聯網網絡地址和內部網絡地址對應關系，并保留3個月以上的上網日志信息備查。當發(fā)生安全事故后，可以根據記錄的信息對用戶既往行為進行分析和追根朔源，對潛在的破壞者可起到威懾作用。ACG基于用戶、IP、應用、時間段的任意組合進行多維度細粒度的控制，可提供阻斷、限流等多種控制方式，并可提供應用控制黑白名單功能，實現對于P2P的帶寬控制。實踐應用之：非法HTTP訪問控制ACG通過URL識別用戶對非法網站的訪問，可通過自定義IP地址、主機名、正則表達式等方式設置URL特征庫；防火墻進行NAT地址轉換并記錄相關信息。用戶安全執(zhí)行中心記錄防火墻發(fā)送的NAT前后地址信息，記錄ACG發(fā)送的網頁IP、域名、訪問用戶、訪問時間等信息，滿足公安部82號令要求。通過出口行為管控，不但解決了駐地網用戶通過P2P下載造成網速變慢問題，還解決了通過訪問非法網站帶來的安全和政治問題，并且可以實現詳盡的用戶上網行為審計，同時滿足了駐地網網絡的管理要求和合規(guī)性要求。組播技術有效地解決了單點發(fā)送、多點接收的問題，實現了IP網絡中點到多點的高效數據傳送，能夠大量節(jié)約網絡帶寬、降低網絡負載。更重要的是，可以利用網絡的組播特性方便地提供一些新的增值業(yè)務，如在線直播、網絡電視、遠程教育、遠程醫(yī)療、網絡電臺、實時視頻會議等互聯網的信息服務領域。 組播源向一組確定的接收者發(fā)送信息，而如何來標識這組確定的接收者？178。 組播報文在網絡中是如何被轉發(fā)并最終到達接收者的？IPv6組播地址在IPv6中，使用組播組地址來確定一個組播組的接收者。發(fā)往組播地址的報文被組播地址標識的所有接口接收。(2) Flags：4比特。 最高位為保留位，必須為 0。 R bit：取0表示非內嵌RP的組播地址；取1則表示內嵌RP的組播地址，此時P、T位都必須置1。 P bit：取0表示非基于單播前綴的組播地址；取1則表示基于單播前綴的組播地址，此時T位也必須置1。 T bit：取0表示永久分配組播地址；取1則表示非永久分配的組播地址。表1 Scope字段的取值及其含義(4) Group ID：112比特，組播組標識號。IPv6組播MAC地址IPv6組播MAC地址的高16位為0x3333，低32位為IPv6組播地址的低32位。圖7 IPv6組播MAC地址如上圖所示，IPv6的組播MAC地址為將128 bit的IPv6組播地址的低32bit：F30E0101直接映射到了MAC地址的低32bit中。在IPv6中使用MLD協議作為組播組管理協議，MLD是運行于主機和與主機直連的路由器之間，其實現的功能是雙向的：一方面，主機通過MLD報告通知路由器希望接收某個特定組播組的信息；另一方面，路由器通過MLD查詢周期性地查詢局域網內的組播組成員是否處于活動狀態(tài)，實現所連網段組成員關系的收集與維護。目前MLD有以下兩個版本：MLDv1（RFC 2710）對應IGMP v2MLDv2（RFC 3810）對應IGMP v3 MLDv2原理簡介MLDv2的原理與MLDv1基本相同，并新增了一些特性：對IPv6組播源的過濾MLDv2增加了針對IPv6組播源的過濾模式（INCLUDE/EXCLUDE），使主機在加入某IPv6組播組G的同時，能夠明確要求接收或拒絕來自某特定IPv6組播源S的IPv6組播信息。Host B僅對從Source 1發(fā)往G的信息感興趣，而對來自Source 2的信息沒有興趣。當主機與路由器之間運行了MLDv2之后，Host B就可以要求只接收來自Source 發(fā)往G的IPv6組播信息（S1，G），或要求拒絕來自Source 發(fā)往G的IPv6組播信息（S2，G），這樣就只有來自Source 1的IPv6組播信息才能傳遞給Host B了。它是運行在二層設備上的IPv6組播約束機制，用于管理和控制IPv6組播組。如下圖所示，當二層設備沒有運行MLD Snooping時，IPv6組播數據報文在二層被廣播；當二層設備運行了MLD Snooping后，已知IPv6組播組的組播數據報文不會在二層被廣播，而在二層被組播給指定的接收者。可控組播技術能夠滿足如下要求：1． 對組播源的嚴格控制，能夠阻止未被授權的組播流的發(fā)送。3． 對用戶身份的控制，能夠針對用戶的身份進行組播的授權。5． 能夠與現有的認證計費系統配合，達到平滑升級的目的。組播源控制對組播源的控制的實質是對網絡中組播節(jié)目的控制，保證只有被授權的節(jié)目才能夠在網絡中傳輸。當接入組播服務后，管理者回收這些信息。針對組播源的控制用于保證只有已申請并被授權的組播源才能夠發(fā)組播報文進入網絡。在接入層及網絡出口設備上，還需要配置在缺省情況下禁止轉發(fā)接收的IPv6組播報文，這樣配置后，除非組播流量符合配置的組播ACL參數，才能夠被轉發(fā)。組播接收者控制對組播接收者進行控制，主要是在網絡邊緣設備上對終端用戶的組播接收權限進行控制，對用戶的組播權限控制應是動態(tài)的過程，在用戶使用組播前動態(tài)下發(fā)到網絡邊緣設備上并且應當能夠與現有的認證計費系統配合，做到對組播用戶的計費。用戶的組播權限的下發(fā)是使用H3C的User Profile技術，User Profile提供一個配置模板，能夠保存預設配置（一系列配置的集合）。在設備上配置的組播權限是包含在User Profile中的，當用戶上線時，會通過H3C iMC下發(fā)對應的User Profile，對用戶的組播權限進行動態(tài)授權。2． 當用戶通過認證后，根據在服務器側針對此用戶設置的組播用戶控制權限，向接入層交換機下發(fā)對應此用戶的組播控制權限，這個權限以UserProfile為表現形式。當用戶的MLD通告報文中的組播組未被授權，則接入交換機上丟棄此MLD報文，阻止未被授權的組播流被發(fā)送給終端用戶。可控組播技術通常結合MLD Snooping使用，這樣能夠做到在接入層基于每個用戶的MAC地址，做到對用戶的組播權限的動態(tài)控制。通過在交換機接口上配置ACL，做到對組播報文的過濾，能夠控制到基于端口的組播轉發(fā)。用戶組播權限部署H3C的組播權限控制模塊用于對用戶的組播權限配置，園區(qū)網管理者通過此模塊對用戶的組播權限進行配置。當用戶需要申請組播服務時，管理員將用戶關聯已經配置好的UserProfile即可。使用按時長計費的用戶，可以使用限時包月策略，單播與組播同時在一個月內有相同的使用時長，超過的部分采用一定的費率進行按時長收費，通過這些計費策略可以靈活的控制單播與組播的費率，方便計費。與組播權限控制模塊及用戶認證模塊進行配合，對駐地網內部的用戶進行組播權限的動態(tài)下發(fā)，達到控制組播用戶接入權限的目的。在結合了計費系統后，可控組播技術能夠逐步的為網絡的管理者提供一套新的網絡增值業(yè)務。國家在CNGI與IPv6試商用的整體重視和投入，極大推進了學校IPv6業(yè)務與用戶的蓬勃發(fā)展。而如何能夠將IPv6駐地網建設成和IPv4網絡一樣安全、可管理、可運營成為對學校信息化主管新的挑戰(zhàn)。而IPv6駐地網建設初期是以基礎平臺搭建為重點，缺乏對用戶管理的有效手段，存在一定的用戶資源不可控風險。 管理好IPv6業(yè)務資源 隨著IPv6試商用建設在學校的部署， IPv6業(yè)務不斷增加以滿足更普遍的新業(yè)務服務。 管理好IPv6網絡資源 每個學校都會有多個廠家提供的IPv6設備，數量規(guī)模不一，少則數十臺多則近千臺。 解決方案與價值實現IPv6用戶管理方案 IPv6安全準入——，驗證IPv6用戶準入權限，并記錄其審計信息； IPv6可信保障——ND攻擊防御、偽DHCP6防御等交換機技術特性（SAVI），防止IPv6接入環(huán)境的偽造行為，保障源地址真實可信； IPv6業(yè)務運營——基于交換機MLD Snooping和用戶認證管理技術，面向用戶下發(fā)IPv6組播權限，并支持運營計費。而對于IPv6業(yè)務集中的雙棧數據中心，采用同時支持IPv4/IPv6的服務器負載均衡方案，幫助駐地網IPv6新熱點業(yè)務大幅提升用戶體驗。該技術利用設備的ND信息，過濾出所有的全局IPv6地址，然后根據這些全局IPv6地址再次執(zhí)行ND掃描，從而遞歸發(fā)現所有的網絡設備。而基于IPv6 ND的遞歸發(fā)現方式計算工作量大幅減小，極大提升了學校的管理工作效率。IPv4 TCO，推進駐地網用戶的IPv6普遍訪問和駐地網信息資源的IPv6普遍服務，為學校由IPv6試商用向正式商用提供了支撐。為了實現IPv6駐地網，新增1臺IPv6出口路由器。實現原理：駐地網中部署雙協議棧網絡是最理想的方法，如圖所示。這樣對于新建的駐地網中雙棧用戶可以同時訪問訪問IPv6和IPv4網絡。駐地網內所有三層設備由于均是雙棧設備，既運行IPv4路由協議也運行IPv6路