网络安全防护IPv6技术七问七答
3、IPv6网络防御和方法如何影响应用程序级别的攻击?
应用层防御通常包括协议识别、IPS、防病毒、URL过滤等。它主要检测消息应用程序层的负载,而不受IPv4/IPv6网络层协议的影响。因此,在IPv6网络中的现有IPv4协议中,大多数应用程序层安全功能不会受到影响。
但是,某些IPv4网络协议会更改IPv6网络的要求。例如,如果DNS协议更新为DNSv6,则必须根据协议更改调整适当的应用程序层测试。
4、网络安全防护IPv6技术为扩展头添加了IPSec的端到端加密功能。如果应用程序启用了此功能,网络安全设备将如何检测和保护加密流量?
通常,网络安全设备无法解密IPSec上的加密流量,只能从IP地址控制流量。但从目前的情况来看,这些“嵌入式”IPSec通常需要使用尚未成熟的密钥分发技术,这可能会导致较高的管理成本。由于网络安全设备无法正确解密IPSec流量,防火墙和其他网络安全设备无法在网络和应用程序级别检测到IPSec流量。从某种意义上说,系统的安全性是无法得到充分保障的。对于典型的企业应用程序,考虑到管理成本和安全性,建议继续使用防火墙对IPSec VPN进行加密和解密,并在网关站点(如IPS和状态防火墙)执行安全检查。技术完成后,您就可以实施完整的加密。
5、SSL代理功能是否受IPv6协议影响?
SSL代理不依赖于网络层的特定协议,并且可以解密IPv6 SSL加密流量。
6、如何通过IPv6网络防火墙访问安全策略管理?安全策略和IPv4有什么区别?
IPv6和IPv4安全策略的管理和控制是相同的,但必须根据ACL中的5个元组分别进行配置。只有IPv6地址变长,策略配置变得更加复杂。
7、IPv4服务的功能和性能方面,IPv4/IPv6双栈功能对现有安全设备有何影响?
IPv4/IPv6双堆栈的使用通常不影响安全设备的功能,但主要影响设备的性能。由于IPv6协议栈消耗IPv4服务的CPU、内存和其他资源,因此现有的IPv4服务在会话表容量、新速度和吞吐量方面都有所减少。建议在升级/激活IPv4/IPv6双堆栈之前评估现有安全设备的处理能力,并根据需要更换现有安全设备,以避免影响现有IPv4服务。
