逐跳选项头:此扩展头必须紧随在IPv6头之后,它包含包所经路径上的每个节点都必须检查的可选数据。到目前为止,只定义了一个选项:巨型净荷选项。该选项指明,此包的净荷长度超出了IPv6的16位净荷长度字段。只要包的净荷(包括逐跳选项头)超出65535字节,就必须包含该选项。如果节点不能转发此包,则必须返回一个ICMPv6出错报文。
选路头:此扩展头指明包在到达目的地途中将经过的特殊的节点。它包含包沿途经过的各节点的地址列表。IPv6头的最初目的地址不是包的最终目的地址,而是选路头中所列的第一个地址。此地址对应的节点接收到该包后,对IPv6头和选路头进行处理,然后将
包发送到选路头列表中的第二个地址。如此继续,直至该包到达最终目的地。
分段头:此扩展头包含一个分段偏移值、一个“更多段”标志和一个标识字段,用于源节点对长度超出源端和目的端间路径MTU的包进行分段。
目的地选项头:此扩展头包含只能由最终目的地节点所处理的选项。目前,只定义了填充选项,将该头填充为64位边界,以备将来所用。
身份验证头(AH):此扩展头提供了一种机制,对IPv6头、扩展头和净荷的某些部分进行加密的较验和计算。
封装安全性净荷(ESP)头:这是最后一个扩展头,不进行加密,它指明剩余的净荷已经加密,并为已获得授权的目的节点提供足够的解密信息。
除了理解上述扩展头的功能之外,还有必要了解这些扩展头的使用方法、工作情况以及将来如何用于扩展IPv6。下面一节将描述这些扩展头的正确用法,后续小节将详细解释每个扩展头的工作过程,与安全性相关的扩展头的内容参见第9章。
7.2扩展头的用法
将IPv4选项合并到标准IPv4头比较复杂。IPv4头最短为20字节,最长为60字节,附加数据包含IPv4选项,必须由路由器翻译以对IP包进行处理。这种方法有两个影响:其一,路由器实现时往往对附加选项的包进行分流处理,因此导致处理效率降低;其二,由于选项导致性能下降,应用开发者倾向于不使用选项。
使用IPv6扩展头,可以在不影响性能的前提下实现选项。开发者可以在必要时使用选项,而无须担心路由器会对带扩展选项的包区别对待,除非是设置了选路扩展头或逐跳选项。即使设置了这两个选项,路由器仍可以进行必要的处理,比使用IPv4选项容易。
IP地址我们常常都能听到,它到底是什么?就像你要寄信,要有发件人地址、收件人地址,这样邮递员才知道要送去哪里,退件要退到哪里。
同理,你要上网,就要有IP地址。数据包才知道要发送到哪里去,才知道要将结果反馈给谁。
为什么要用IPV6取代IPV4呢?最主要的原因是,IPV4的地址已经枯竭了。其实很早就已经不够用了,在没有其他可马上替换的IP协议出现之前,只能延缓IPV4地址衰竭,于是在1994年使用了一种NAT的技术,如下图:
通过装有NAT软件的路由器,很多电脑就可以使用一个公网的IP地址和外网连接,而私网的IP地址只要不是在一个局域网内,就可以重复进行使用。早些年,网民还不多的时候,我们还能很轻松的申请到公网的IP地址。现在很难,基本上我们使用的都是运营商的私网IP地址。
因为真的不够用了。这就是典型的私网套私网(NAT套NAT),一层一层的套,这样一来,大大节约了公网IP地址数量。2019年欧洲网络协调中心宣布,全球所有近43亿个IPv4地址已全部分配完毕,这意味着没有更多的IPv4地址可以分配给ISP(网络服务提供商)和其他大型网络基础设施提供商。
如上图,根据中国互联网络信息中心(CNNIC)发布的《第44次中国互联网发展状况统计报告》,截至2019年6月,中国IPv4地址数量为3.8亿个。得益于NAT技术,这个数字从2011年以来变化就不太大了。近几年IPV4地址耗尽其实影响并不大。
中国要大力发展IPV6的原因是要把握网络的自主权根服务器主要用来管理互联网的主目录。大家都知道互联网起源于美国,所有IPV4根服务器均有美国政府授权的互联网域名和号码分配机构ICANN统一管理,负责全球互联网域名IPV4根服务器、域名体系和IP地址等的管理。
全世界只有13台IPV4根域名服务器,而中国没有1台,是因为中国的互联网发展的时间比欧美等国家要晚一些。(1个为主根服务器在美国。其余12个均为辅根服务器,其中9台在美国,欧洲2个,位于美国和瑞典,亚洲1个位于日本。)
美国曾经关闭了伊朗、伊拉克等中东小国家的网络,造成了巨大的损失。中国早有先见之明在境内已经设立了镜像服务器,虽然不会怕美国关闭根服务器,但网络的安全和自主权是我们不得不重视的问题。由于数据包原因,IPV4根域名服务器只能有13个,如果中国要拥有自己的根域名服务器只有2个办法,一是现在有IPV4根于服务器的国家移植,二是改变网页访问的申请由一个数据包完成的现状。
移植不可能,因为美国不会给,别的国家也不富裕。改变一个数据包的技术模式更不可能,因为牵扯范围和技术变动太大,不太现实。所以中国非常迫切的需要IPV6。
中国主导了“雪人计划”于2016年在全球16个国家完成25台IPV6根服务器架设,形成了13台原有IPV4根服务器加25台IPV6根服务器的新格局。至此,中国有4台服务器(1台主根服务器和3台辅根服务器),打破了过去没有根服务器的格局。IPv6会带给我们什么?
IPV4的地址总数约43亿,IPV6的地址总数340282366920938463463374607431768211456个。这个数量,即使是给地球上每一颗沙子都分配一个IP,也是妥妥够用的。
除了地址数量之外,IPv6还有很多优点,例如:
1、IPv6使用更小的路由表。使得路由器转发数据包的速度更快。
2、IPv6增加了增强的组播支持以及对流的控制,对多媒体应用很有利,对服务质量控制也很有利。
3、IPv6加入了对自动配置的支持。这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。
4、IPv6具有更高的安全性。用户可以对网络层的数据进行加密并对IP报文进行校验,极大地增强了网络的安全性。
5、IPv6具有更好的扩容能力。如果新的技术或应用需要时,IPV6允许协议进行扩充。
6、IPv6具有更好的头部格式。IPV6使用新的头部格式,就简化和加速了路由选择过程,提高了效率。看不懂?每关系的,总之大家记住,IPV6优点很多,每台设备都可以有自己的IPV6地址,再也不用去nat转换一下。
为什么IPv6没有迅速取代IPv4?一直到现在,IPV6问世已经20年了,大家仍然还在用IPV4,对老百姓来说,并没有因为地址不够而无法上网。IPV6没有迅速取代IPV4的主要原因就是利益。
得益于NAT等技术延缓IPV4地址的枯竭,IPV4变成了一种稀缺的资源,如果大家去找运营商或ISP买带宽,或者租赁云服务,带公共地址的,一定比不带公共地址的贵很多很多。
除了地址可以赚钱之外,如果升级支持IPV6,对运营商和ISP来说,也意味着很大的资金投入。现在新设备基本都是支持的,但毕竟还是有一些老设备,如果在使用寿命到期之前就换,就是亏钱。
所以运营商和ISP都是没有动力去推动IPV6的。而对于电脑和手机等设备,处于提前考虑,早已经普遍支持IPV6了。为什么我国现在要大力推动IPV6?
除了出于网络的安全和自主权外,我国之所以现在急迫地要求推进,大部分原因在于推动通信基础设备的标准化建设,为5G、物联网、工业4.0打基础,为全面实现“中国制造2025”做好充分的准备。尤其是物联网,现在进入高速发展阶段,地址需求非常大(根据预测,2025年,物联网的连接数将超过270亿),迫切需要IPv6,IPv4肯定是hold不住的。
IPV6才是对未来的“网络安全感”,胳膊拧不过大腿,随着国家的大力推进,不管各利益相关方是否愿意,IPv6都会取代IPv4,成为主流。我们所需要做的呢,就是静静地感受它带给我们的便利和安全
1、IPv6地址过滤防火墙或路由器进行IPv6地址过滤配置,具备非法地址过滤条目(如多播地址,链路本地地址作为源地址的过滤条目),具备单播逆向(uRPF)过滤等功能,可抵御非法路由条目攻击。
2、路由协议安全防护
路由器、防火墙或三层交换机的路由配置,采用IPv6路由协议,如OSPFv3认证功能,OSPFv3主要用于在IPv6网络中提供路由功能,OSPFv3是基于OSPFv2上开发用于IPv6网络的路由协议。为适应IPv6运行环境,支持IPv6报文的转发,OSPFv3相对OSPFv2做出相关的改进,使得OSPFv3可以独立于网络层协议,并且其扩展性加强,可以满足未来的需求。
3、DHCPv6安全防护
DHCPv6的场景下,DHCPv6服务器或路由设备上配置DHCP安全防护,能防止非法DHCP用户攻击。与其他IPv6地址分配方式(手工配置、通过路由器通告消息中的网络前缀无状态自动配置等)相比,DHCPv6具有以下优点:
(1)更好地控制IPv6地址的分配。DHCPv6方式不仅可以记录为IPv6主机分配的地址,还可以为特定的IPv6主机分配特定的地址,以便于网络管理。
(2)DHCPv6支持为网络设备分配IPv6前缀,便于全网络的自动配置和网络层次性管理。
(3)除了为IPv6主机分配IPv6地址/前缀外,还可以分配DNS服务器IPv6地址等网络配置参数。
4、NAT转换设备安全防护
使用NAT的场景下,在NAT转换设备上配置了安全防护,抵御NAT相关攻击。按照NAT的具体工作方式,又可以做如下分类。
(1)应用层网关
应用层网关(ALG)是解决NAT对应用层协议无感知的一个最常用方法,已经被NAT设备厂商广泛采用,成为NAT设备的一个必需功能。
(2)探针技术STUN和TURN
所谓探针技术,是通过在所有参与通信的实体上安装探测插件,以检测网络中是否存在NAT网关,并对不同NAT模型实施不同穿越方法的一种技术。
(3)中间件技术
与ALG的不同在于,客户端会参与网关公网映射信息的维护,此时NAT网关只要理解客户端的请求并按照要求去分配转换表,不需要自己去分析客户端的应用层数据。
(4)中继代理技术
在NAT网关所在的位置旁边放置一个应用服务器,这个服务器在内部网络和外部公网分别有自己的网络连接。
5、NAT安全溯源
使用NAT的场景下,能够记录IPv6源地址,抵御IPv6攻击。将某一时刻NAT地址池中特定合法IP的特定端口是哪个用户在使用的信息发送给日志服务器,由日志服务器保存一定时间,供相关部门查询。
6、IPv6相关的防火墙(含WAF)的安全防护
防火墙(含WAF)的配置,如防火墙的运行模式(过滤或NAT),防火墙的ACL级别(IP或端口),防火墙上可启用的额外功能(VPN、IDS、Web应用防护)的Web应用防火墙。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)