ipv6组网如何保护网络安全

Ⅰ 什么是ipv6，它对于网络有什么作用和意义吗

1、IPv6是Internet Protocol Version 6的缩写，译为“互联网协议”，用于替代IP协议（IPV4）的下一代IP协议。
2、IPv6的使用，不仅能解决网络地址资源数量的问题，而且也解决了多种接入设备连入互联网的障碍。

Ⅱ 移动IPv6的安全机制

实际的网络中，会存在各种对报文的窃听或者篡改等攻击。如果攻击者截取了绑定报文，并且修改内容中转交地址为攻击者的地址，然后再继续发送给HA或者CN，那么攻击者就会截取到发往移动节点的通信数据。同样对于移动IPv6中目的选项或者路由报头的攻击，也会影响到通信的安全。要保证移动IPv6的通信安全，就必须保证移动IPv6的协议消息的真实性和完整性。
MN与CN的关系带有任意性，不适合需要预先建立安全关联的方式，因此IPSec在MN与CN之间不适用。为保证MN与CN的之间的安全性，引入了往返可路由过程。
MN与CN之间的移动IPv6协议消息包括：MN发往CN的绑定消息，CN发往MN的绑定确认。往返可路由过程的目的是要确保绑定消息中的家乡地址和转交地址都是真实可达的，都属于移动节点。
MN与HA之间的关系相对固定，便于预先建立安全关联，因此对于MN和HA之间的协议消息使用IPSec进行保护，具体的操作可以参考RFC3776。 移动 IPv6 提供了移动节点与家乡代理之间的认证机制，以防止非法移动节点发起的会话窃取和 DoS 攻击。公开密钥加密和数字签名可以用于提供家乡代理、移动节点之间的信任关系，实现认证。
移动 IPv6 使用的默认认证算法是增强的 MD5 算法，采用前缀加后缀的模式。密钥(通常为 128 位)放在要求认证的数据前面和后面，通过认证算法产生数据的一个 128位哈希值，加在认证扩展的后面，发送给认证方。如果接收方共享发送方的密钥，只需重新计算哈希值，得到的结果与请求认证方发送的数据进行比较，如果匹配则认证成功。为了满足对用户数据流和机密性保护的要求，IPSec 可以用来加密家乡代理和移动节点之间的 IP 分组。 IETF 建议两种方法对注册请求进行抵抗重放攻击：时间戳和 nonce。时间戳是强制的而 nonce 是可选的。时间戳重放保护的基本原理是发送方在消息中插入当前时间，接收方检验时间是否足够接近它自己的日期时间，因此要求通信双方的时钟必须保持同步。当使用时间戳时，移动节点发出的注册请求中的标识号必须大于任何前面注册请求中使用的编号；当收到具有认证扩展的注册注册请求时，家乡代理必须检查标识号的有效性。标识号中的时间戳必须足够接近家乡代理的日期时间。
使用 nonce 来实现重放保护的基本原理为：节点 A 在发往节点 B 的每一个消息中包含一个新的随机数，并且检查节点 B 是否在下一个发给 A 的消息中返回相同的数。两个消息都使用认证编码来保护数据不被攻击者篡改。伪随机数是产生 nonce 的一种方法。 移动 IPv6 中除了使用 IPSec 来完成认证和加密任务之外，还采用了返回路由可达过程(Return Routability Procere: RRP)来加强对通信对端绑定更新的保护。RRP 分为Home RRP 和 care of RRP。Home RRP 用来判断 CN 是否可以通过 HA 与 MN 的 HoA进行通信，并且产生互相认同的 home cookie；care of RRP 用来判断 CN 是否可以直接与 CN 的 CoA 进行通信，并且产生互相认同的 care of cookie。

Ⅲ 雷网主机加快IPv6部署，如何准确地把握安全问题呢

2011年2月3日悄无声息的到来又逝去，这一天看似普通，但对互联网人士来说，却非比寻常，无论他们是否知晓，这一天却是一个里程碑。在那个周四，互联网数字分配机构（IANA）将最后可用的IPv4地址分配殆尽。虽然某些地区的互联网注册管理机构（RIR）还有够一两年使用的库存，但全新IPv4地址分配的时代已基本成为历史。

既然IPv4已经用尽，那么是时候认真考虑采用下一代互联网协议IPv6了。当前，每小时就会增加一百万台新设备，而IPv6具有128位的地址空间（IPv4具有32 位空间），可以适应互联网当前及未来的发展需求。实际上，与IPv4的43亿个IP地址相比，IPv6可以再增加340万亿万亿万亿地址，足以满足可预见未来的全球互联网需求。

随着DNS安全扩展协议（DNSSEC）的持续部署，IPv6将为未来互联网提供稳定而安全的基础。但是，要实现从IPv4向IPv6的成功过渡，无论是基础架构运营商、服务提供商，还是应用开发人员与用户，所有人都必须在一系列工作中团结合作，这些工作包括：

· 支持并开发IPv6能力，并建立与IPv4相当的功能

· 调试并修正那些仅使用IPv6的新软件与应用程序中的问题

· 改善与IPv4的交互工作与过渡共存问题

安全性将成为这一工作的关键。IPv6为大多数互联网参与者展示了新的疆界，它的出现也将带来一些独特的安全挑战。虽然下述内容并不完全，但它给出了八个需要注意的问题领域，业界需要在采用IPv6的过程中，不断地解决这些问题。要知道我们仍然处于采用的初级阶段，所以某些风险的解决方案只能来自于被实际应用所证明的最佳实践。

1、从IPv4向IPv6的转换过程中，事务处理（Transaction）可能更容易受到攻击。由于IPv4与IPv6并非“逐位 (bits on the wire)”地兼容，因此协议转换就成为更广泛的部署与采纳的一种途径。从IPv4到IPv6的转换中，当转换流通过网络时，必然产生需要协调事务处理。设想一个邮局的信件分拣员，他必须打开每个IPv4信封，再将每封信装入一个IPv6信封中，以确保它能投递到正确的地址，此时要修改文件包含的内容，从而使之与新的IPv6信封外的信息相符。每做一次这个操作，都给执行不善和执行不力者提供了一个机会，从而产生或触发一个潜在的漏洞。另外，这种方法引入了必须维护事务处理状态的中间环节(middle boxes)，使网络复杂化，从而危及了端到端的原则。通常情况下，安全人员应注意所有转换与事务处理机制（包括隧道）的安全问题，只有经过了彻底评估以后，才能明确地启用这些机制。

2、大网络段既有优点也有缺点。IPv6的网络段规模要远远大于我们现有的网络段。现在，为一个IPv6子网络推荐使用的前缀长度为/64 (264)，它可以在一个网络段中容纳约18 x 1018个主机！虽然这能够实现几乎无限制的LAN长度，但这一规模也带来了挑战。例如，扫描一个IPv6/64块网络的漏洞要花数年时间，而扫描一个/24的IPv4子网（28）只需花几秒钟。既然不可能做完整的扫描，那么比较好的办法或许是只使用地址的前/118（与一个/22的IPv4中主机数量相同），缩小要扫描IP的区间范围，或者明确地分配掉所有地址，并且暗中拒绝余下的所有地址。这样便可以做到细致的IP管理，以及较今天而言更为严格的监控。另外还可以预测到，攻击者可能将采用被动式域名系统（DNS）分析以及其它侦测技术来代替传统的扫描方法。

3、邻居发现及请求都可能使网络出现问题。IPv6中的邻居发现（Neighbor Discovery）使用了五种不同类型的第6版互联网控制信息协议（ICMPv6），用于多种目的，如在链接中包含可确定邻居的链路层地址，清空已失效的缓存值，以及发现那些想要自己转发分组数据包的邻居。虽然邻居发现提供了很多有用的功能，包括重复地址检测（DAD）以及对不可及邻居的检测（NUD），但它也给攻击者提供了很多机会。IPv6中的邻居发现攻击将很快取代IPv4中的同类攻击，如ARP Spoofing攻击。一般而言，除非明确地提供并实现了链路层访问控制以及安全机制，否则保持所有端口的关闭是一个好主意，而且要在不使用IPv6时，将其完全禁用。

4、阻塞大型扩展头、防火墙与安全网关，可能成为DDoS攻击者的目标。在IPv6中，IP选项功能已被从主头中移出，而通过一组附加头来实现。这些附加头叫做扩展头，其定义了一组目标选项、逐跳跃（hop-by-hop）选项、身份认证，以及一个其它选项的数组。这些扩展头跟随着固定为40字节的IPv6主头，它们相互链接，构成一个IPv6分组数据包（固定头 + 扩展头 + 有效负载）。有大量扩展头的IPv6流会淹没防火墙和安全网关，甚至会致使路由器转发性能下降，因此成为了DDoS和其它攻击者的一种潜在动力。在路由器上禁用“IPv6源路由（IPv6 source routing）”可能是防止DDoS威胁的必要方式，并且明确地写明支持哪种扩展头，以及检查网络设备的正确实现，这些都很重要。一般而言，IPv6增加了很多需要过滤或区域性传播的部件，包括一些扩展头、组播地址，以及增加了互联网控制信息协议（ICMP）的使用。

5、6to4和6RD代理可能会导致攻击与滥用行为。6to4及其ISP快速部署的6RD均无需配置专用的隧道，就能使IPv6数据包跳出IPv4的空间。但部署IPv6代理服务器可能会使代理运营商进入一个麻烦的世界，包括发现式攻击、欺骗，以及反射式攻击，而代理运营商自身可能被利用，成为一个攻击和滥用的“源头”。

6、对IPv6服务的支持可能暴露现有的IPv4应用程序或系统。有一个局限便是，现有的安全补丁可能仅适用于IPv4支持，而大多数核心程序在做DNS查表等动作时，偏向于优先采用IPv6接口（而不是IPv4），以促进IPv6的更快部署。实际上，IPv6与IPv4之间的这种互动可能使每次DNS查表的流量翻番（同时请求AAAA和A记录，或更糟糕的情况，即每次都要通过IPv4和IPv6）。为了优化用户体验，可能产生出大量非必需的DNS流量。OS与内容供应商在不断采用措施，以减轻或优化这个性能（如：AAAA白名单），但它也增加了系统负荷和状态。另外应注意到，使用新的IPv6栈后，肯定会逐步显现新的漏洞。一个过渡周期内长期存在两个栈，以及路由器、最终系统与网络服务（如DNS）之间的相互依存，显然会为犯罪分子提供充分施展的空间。

7、很多用户可能被隐藏在固定地址集后面。被大型网络地址转换协议（NAT-PT）设备所隐藏的用户可能会废除一些有用功能（如地理定位）或工具，使恶意网络行为有了空间，并且让基于信誉的号码与命名空间的安全控制问题更为严重。

8、与其它网络做隧道操作时，即使IPSec也可能带来问题。IP安全机制（IPSec）能够对发送者做出认证，提供完全的保护，并且可选采用加密的IP分组数据包以提供传输数据的可信性。IPSec在IPv4中是一个可选功能，而在IPv6中是强制使用的。在隧道模式下（基本上是建立一个网络间、主机—网络和主机间通信的VPN），整个数据包被封装在一个新的IP包内，并给它一个新的IP头。但当与某个超出原发方控制的网络建立VPN连接时，则可能产生安全性暴露问题，或被用于漏出数据等。由于IPSec要用附加协议（如互联网密钥交换–IKE）去处理对安全保护以及相关安全密钥的协商与管理，从而增加了复杂性，因此IPv6初期对IPSec支持的广泛程度也许并不会超过IPv4。

在IPv6开始广泛部署且IPv4设备开始减少以前，还会有一段时间。到那时，我们都将致力于可实现互联网第40亿台设备的协议。

2月3日这个里程碑的日子已成历史，我们将别无选择地去发展和传播一些最佳实践，从而使下一代IP地址更加稳定、可靠和安全，而它的开始要依赖网络与安全人员的认知与知识。

Ⅳ 为何说IPv6让互联网“更大更安全”

IPv6是“Internet ProtocolVersion 6”的缩写，是由国际互联网标准化组织I－ETF设计的，用于替代现行版本IPv4的下一代互联网核心协议，对过渡、路由、网管、传输、安全等已有比较成熟的标准。TCP/IP协议是互联网发展的基石，其中IP是网络层协议，规范互联网中分组信息的交换和选路。 IETF将IPv4到IPv6的变化称为下一代IP，也就是下一代互联网。

中国下一代互联网国家工程中心2013年联合日本和美国相关运营机构和专业人士发起“雪人计划”，提出以IPv6为基础、面向新兴应用、自主可控的一整套根服务器解决方案和技术体系。 2016年，“雪人计划”在美国、日本、印度、俄罗斯、德国、法国等全球16个国家完成25台IPv6根服务器架设，其中中国部署4台，打破我国没有根服务器的困境，形成了13台原有根加25台IPv6根的新格局，从根服务器数量和分布方面为建立多边、民主、透明的国际互联网治理体系打下坚实基础。

Ⅳ 实施的同时如何保障IPV6的安全性

据报道，日前相关部门发布《推进互联网协议第六版（IPv6）规模部署行动计划》，提出用5到10年时间，形成下一代互联网自主技术体系和产业生态，建成全球最大规模的IPv6商业应用网络。

此外企业决策应该从IPv6作为国家战略来进行判断和考量，不能只注重中短期利益，需要克服自身困难积极响应，提高对IPv6在拓展网络经济空间和国家安全等方面发挥的重大作用的认识，激发每个单位和企业主动使用IPv6的积极性。

希望规划可以早日变成现实！

Ⅵ 全网ipv6的理由安全协议是什么

IPv6是"Internet Protocol Version 6"的缩写，也被称作下一代互联网协议，它是由IETF设计的用来替代现行的IPv4协议的一种新的IP协议。

今天的互联网大多数应用的是IPv4协议，IPv4协议已经使用了20多年，在这20多年的应用中，IPv4获得了巨大的成功，同时随着应用范围的扩大，它也面临着越来越不容忽视的危机，例如地址匮乏等等。

IPv6是为了解决IPv4所存在的一些问题和不足而提出的，同时它还在许多方面提出了改进，例如路由方面、自动配置方面。经过一个较长的IPv4和IPv6共存的时期，IPv6最终会完全取代IPv4在互连网上占据统治地位。对比IPv4，IPv6有如下的特点，这些特点也可以称作是IPv6的优点：简化的报头和灵活的扩展 ；层次化的地址结构 ；即插即用的连网方式 ；网络层的认证与加密 ；服务质量的满足 ；对移动通讯更好的支持。

简化的报头和灵活的扩展

IPv6对数据报头作了简化，以减少处理器开销并节省网络带宽。IPv6的报头由一个基本报头和多个扩展报头(Extension Header)构成，基本报头具有固定的长度（40字节），放置所有路由器都需要处理的信息。由于Internet上的绝大部分包都只是被路由器简单的转发，因此固定的报头长度有助于加快路由速度。IPv4的报头有15个域，而IPv6的只有8个域，IPv4的报头长度是由IHL域来指定的，而IPv6的是固定40个字节。这就使得路由器在处理IPv6报头时显得更为轻松。与此同时，IPv6还定义了多种扩展报头，这使得IPv6变得极其灵活，能提供对多种应用的强力支持，同时又为以后支持新的应用提供了可能。这些报头被放置在IPv6报头和上层报头之间，每一个可以通过独特的“下一报头”的值来确认。除了逐个路程段选项报头（它携带了在传输路径上每一个节点都必须进行处理的信息）外，扩展报头只有在它到达了在IPv6的报头中所指定的目标节点时才会得到处理(当多点播送时，则是所规定的每一个目标节点)。在那里，在IPv6的下一报头域中所使用的标准的解码方法调用相应的模块去处理第一个扩展报头(如果没有扩展报头，则处理上层报头)。每一个扩展报头的内容和语义决定了是否去处理下一个报头。因此，扩展报头必须按照它们在包中出现的次序依次处理。一个完整的IPv6的实现包括下面这些扩展报头的实现：逐个路程段选项报头，目的选项报头，路由报头，分段报头，身份认证报头，有效载荷安全封装报头，最终目的报头。

Ⅶ IPv6安全问题

[编辑本段]IPv6的安全性问题
现实Internet上的各种攻击、黑客、网络蠕虫病毒弄得网民人人自危，每天上网开了实时防病毒程序还不够，还要继续使用个人防火墙，打开实时防木马程序才敢上网冲浪。诸多人把这些都归咎于IPv4网络。现在IPv6来了，它设计的时候充分研究了以前IPv4的各种问题，在安全性上得到了大大的提高。但是是不是IPv6就没有安全问题了？答案是否定的。
目前，病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播方式在IPv6的网络中就不再适用了，因为IPv6的地址空间实在是太大了，如果这些病毒或者蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机，就犹如大海捞针。在IPv6的世界中，对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。
所以，在IPv6的世界里，病毒、互联网蠕虫的传播将变得非常困难。但是，基于应用层的病毒和互联网蠕虫是一定会存在的，电子邮件的病毒还是会继续传播。此外，还需要注意IPv6网络中的关键主机的安全。IPv6中的组发地址定义方式给攻击者带来了一些机会。例如，IPv6地址FF05::3是所有的DHCP服务器，就是说，如果向这个地址发布一个IPv6报文，这个报文可以到达网络中所有的DHCP服务器，所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。
IPv4到IPv6的过渡技术
另外，不管是IPv4还是IPv6，都需要使用DNS，IPv6网络中的DNS服务器就是一个容易被黑客看中的关键主机。也就是说，虽然无法对整个网络进行系统的网络侦察，但在每个IPv6的网络中，总有那么几台主机是大家都知道网络名字的，也可以对这些主机进行攻击。而且，因为IPv6的地址空间实在是太大了，很多IPv6的网络都会使用动态的DNS服务。而如果攻击者可以攻占这台动态DNS服务器，就可以得到大量的在线IPv6的主机地址。另外，因为IPv6的地址是128位，很不好记，网络管理员可能会常常使用一下好记的IPv6地址，这些好记的IPv6地址可能会被编辑成一个类似字典的东西，病毒找到IPv6主机的可能性小，但猜到IPv6主机的可能性会大一些。而且由于IPv6和IPv4要共存相当长一段时间，很多网络管理员会把IPv4的地址放到IPv6地址的后32位中，黑客也可能按照这个方法来猜测可能的在线IPv6地址。所以，对于关键主机的安全需要特别重视，不然黑客就会从这里入手从而进入整个网络。所以，网络管理员在对主机赋予IPv6地址时，不应该使用好记的地址，也要尽量对自己网络中的IPv6地址进行随机化，这样会在很大程度上减少这些主机被黑客发现的机会。
以下这些网络攻击技术，不管是在IPv4还是在IPv6的网络中都存在，需要引起高度的重视：报文侦听，虽然IPv6提供了IPSEC最为保护报文的工具，但由于公匙和密匙的问题，在没有配置IPsec的情况下，偷看IPv6的报文仍然是可能的；应用层的攻击，显而易见，任何针对应用层，如WEB服务器，数据库服务器等的攻击都将仍然有效；中间人攻击，虽然IPv6提供了IPsec，还是有可能会遭到中间人的攻击，所以应尽量使用正常的模式来交换密匙；洪水攻击，不论在IPv4还是在IPv6的网络中，向被攻击的主机发布大量的网络流量的攻击将是会一直存在的，虽然在IPv6中，追溯攻击的源头要比在IPv4中容易一些。

Ⅷ 如何实现IPv6安全部署

IPv6在IPv4的基础上进行改进，它的一个重要的设计目标是与IPv4兼容，因为不可能要求立即将所有节点都演进到新的协议版本，如果没有一个过渡方案，再先进的协议也没有实用意义。 如何完成从IPv4到IPv6的转换，是IPv6发展需要解决的第一个问题。目前，IETF已经成立了专门的工作组，研究IPv4到IPv6的过渡问题和高效无缝互通问题，并且已提出了很多方案。为了实现IPv4到IPv6过渡的逐步演进、逐步部署、地址兼容、降低费用四个目标，IETF推荐了双协议栈、隧道技术以及NAT等演进方案。这些演进方案已经在欧洲、日本以及我国的商用或实验网络中得到论证和实践。这些演进方案需要进一步与中国具体的网络实践和运营实践相结合，需要在大规模的商用实践中论证、发展与完善。 1、双协议栈技术 双协议栈技术是使IPv6节点与IPv4节点兼容的最直接方式，应用对象是主机、路由器等通信节点。支持双协议栈的IPv6节点与IPv6节点互通时使用IPv6协议栈，与IPv4节点互通时借助于4over6使用IPv4协议栈。IPv6节点访问IPv4节点时，先向双栈服务器申请一个临时IPv4地址，同时从双栈服务器得到网关路由器的TEP（TunnelEndPoint）IPv6地址。IPv6节点在此基础上形成一个4over6的IP包，4over6包经过IPv6网传到网关路由器，网关路由器将其IPv6头去掉，将IPv4包通过IPv4网络送往IPv4节点。网关路由器要记住IPv6源地址与IPv4临时地址的对应关系，以便反方向将IPv4节点发来的IP包转发到IPv6节点。这种方式对IPv4和IPv6提供了完全的兼容，但由于需要双路由基础设施，增加了网络的复杂度，依然无法解决IP地址耗尽的问题。 2、隧道技术 随着IPv6网络的发展，出现了许多局部的IPv6网络，但是这些IPv6网络需要通过IPv4骨干网络相连。将这些孤立的“IPv6岛”相互联通必须使用隧道技术。利用隧道技术，可以通过现有的运行IPv4协议的Internet骨干网络将局部的IPv6网络连接起来，因而是IPv4向IPv6过渡的初期最易于采用的技术。 路由器将IPv6的数据分组封装入IPv4，IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址。在隧道的出口处，再将IPv6分组取出转发给目的站点。隧道技术只要求在隧道的入口和出口处进行修改，对其他部分没有要求，因而非常容易实现。但是隧道技术不能实现IPv4主机与IPv6主机的直接通信。 3、网络地址转换/协议转换技术 网络地址转换/协议转换技术通过与SIIT协议转换和传统的IPv4下的动态地址翻译以及适当的应用层网关相结合，实现了只安装了IPv6的主机和只安装了IPv4机器的大部分应用的相互通信，是一种纯IPv6节点和IPv4节点间的互通方式，所有包括地址、协议在内的转换工作都由网络设备来完成。支持NAT－PT的网关路由器应具有IPv4地址池，在从IPv6向IPv4域中转发包时使用。此外，网关路由器支持DNS－ALG，在IPv6节点访问IPv4节点时发挥作用。NAT－PT方式的优点是不需要进行IPv4、IPv6节点的升级改造；缺点是IPv4节点访问IPv6节点的实现方法比较复杂，网络设备进行协议转换、地址转换的处理开销较大，一般在其他互通方式无法使用的情况下使用。 上述技术在很大程度上依赖于从支持IPv4的互联网到支持IPv6的互联网的转换，我们期待IPv4和IPv6可在这一转换过程中互相兼容。目前，6to4机制便是较为流行的实现手段之一。6to4技术转换策略计划者考虑的关键问题是，当使用者对ISP所提供的基本IPv6传输协议还没有合理的选择时，如何激活IPv6路由域间的连通性。当缺少本地IPv6服务时，提供连通性的解决办法之一是将IPv6的分组封装到IPv4的分组中。6to4是一种自动构造隧道的方式，它的好处在于只需要一个全球唯一的IPv4地址便可使得整个站点获得IPv6的连接。在IPv4NAT协议中加入对IPv6和6to4的支持，是一个很吸引人的过渡方案。 总之，从IPv4向IPv6的过渡是人们未来实现全球Internet不可跨越的步骤，它不是一朝一夕就可以办得到的。从IPv4向IPv6的转换是一个相当长的过渡时期，在此过渡期间需要IPv4与IPv6共存，并解决好互相兼容的问题，逐步实现平滑地演进，最终让所有的网络节点都运行IPv6，充分发挥IPv6在地址空间、性能和安全性等方面的优势。