摘要:IPv6网络协议在我国高校中的广泛应用。虽然IPv6引入了大量全新的安全机制,一定程度上保证了网络安全,并且可以在运行的过程中最大程度控制网络风险以及威胁。但是,在IPv6网络协议中,始终存在着一定的漏洞问题。本文主要基于当下高校IPv6网络安全风险与应对进行详细的阐述,供相关读者参考。
关键词:高校教育;IPv6;网络安全;系统风险
当下的IPv6网络协议技术水平正在高速发展以及不断提升。在教育行业,高校互联网的建设效果明显改善。进行教育网络建设的过程,有效推动了IPv6的建设进程,因此就更加需要重视网络安全方面的影响,以此形成一种完善的安全防范机制,这样才可以实现对风险的防控以及预警。
1IPv6的部署安全风险
1.1系统安全风险
(1)IPv4的安全威胁
在采用IPv6协议的过程中,协议功能的发挥,虽然已经有效提升了系统的安全性,但是在进行数据传输机制的设计中,却一直延续使用着IPv4的机制,因此就会导致在时间IDE数据传输中,无法针对应用层以及在传输层中的恶意攻击手段,起到针对性的处理。
(2)IPv6协议的安全威胁
当下在构建出的全新网络协议当中,采用了全新的流标签字段、扩展报头,这样就可以起到对原本ARP邻居有发现的安全隐患,但是会被当作嗅探攻击的基础,因此,会导致在实际的运行过程中,经常受到NDP攻击、路由重定向攻击等。
(3)过渡阶段的安全风险
高校在进行全新网络协议的构建过程中,所选择的过渡阶段,都始终需要充分结合其实际的情况,进行过渡技术的使用。但是,在现阶段进行网络技术的使用中,受到成本、网络规模以及升级难度等诸多因素的限制,使得在进行处理的过程中,就需要进行针对性的分析。现阶段所采用了双栈、隧道或者翻译技术,都会导致出现各种类型的安全挑战。例如,在双栈的环境下,使得校园网的建设过程中,会形成IPv6与IPv4这两种逻辑通道。其次,在其中一个协议的漏洞出现之后,所可能引发的攻击,就会导致支持双栈网络节点的方式,对其逻辑上的两张网络,进行相互的传播处理。这样的系统形式,往往会导致对整个校园网造成直接的影响。其次,在形成的双栈形式,也会导致网络管理的形式更加复杂多变,在网络运行的过程中,也提升了受到攻击的可能性。而在隧道机制当中,存在的风险基本上都是由于校园网无法进行整体的升级,而是需要利用客户端,或者使用路由器的方式,进行全新自动化隧道的构建,这样才可以实现对IPv6的接入。这样全新的隧道出口路由器,就会成为被攻击的重点目标。一旦攻击者掌握其IPv6协议当中的漏洞,就会让其隧道节点受到直接的攻击,以此导致整体校园网的可靠性受到严重的影响。最后对于翻译机制而言,就是一种经常出现的DDoS攻击风险性行为。在现阶段发起攻击的过程中,会制造出大量的地址转换的请求,以此使得翻译节点,无法实现对用户的正常分配,进而使得对整体网络造成直接的影响。
1.2网络设备安全风险
(1)网络层安全风险防护
在现阶段构建出的校园网当中,存在着用户量大、有线以及无线终端相结合的网络特征。因此,在采用了IPv6之后,使得全部终端都可以自由进行全球单播地址的使用,而不再适用NAT,但是这样也会导致丧失了NAT的保护机制。在现阶段的校园网当中,设置出的防火墙、数据中心等,都需要进行更加精密的划分,以此保障访问控制策略配置有着更高的精确度。另外,在安全设备的使用过程中,还要利用双栈的配置方式,以此提升了单点的故障率。
(2)应用层安全防护风险
当下在应用层的安全防护设备使用过程中,针对采用的IPv6报文解析能力,往往需要在设计的网络规格部署过程中,进行针对性的检验。而在网络流量的控制及分析系统的控制中,也会面临着相似的风险性问题。在出现了类似的风险之后,也会导致在DNS产品上,使得校园网的域名解析中,基于递归与转发这两种形式进行处理。因此,一旦在递归的DNS产品上,存在着大量域名请求记录,就会留下诸多的校园网正式地址。因此,一旦系统遭受到了入侵,就会直接导致这些重要信息的外泄。其次,还会导致在进行使用的过程中,存在着病毒性的问题。在类似的风险行为问题,受到IPv6环境的影响,就会使得面向Web服务以及数据库的服务中,会试图对服务器的权限以及远程命令的执行进行相应的处理。对于危害程度较高的Web服务安全和数据安全,会导致造成较为严峻的安全挑战与风险性问题。
2校园网部署IPv6的安全应对措施
进行校园网的构建过程中,为了保障IPv6的顺利使用,就需要有效建立基于IPv6协议下的安全风险防御体系,这就可以很好在后续的网络规划以及建设的过程中,保障各方面的安全性与稳定性。特别是在管理的过程中,形成较强的安全体系。
2.1系统安全构建
(1)设备升级
在现有的网络安全防护技术下,由于IPv6的一些功能始终存在着一定的安全风险,因此就需要在使用的过程中,对其设备进行全面的安全防护的升级以及调整,这样就可以让系统可以实现良好处理[1]。
(2)功能要求
当下在安全防护的设备使用中,由于需要支持IPv6环境,因此就需要在过渡的过程中,基于IPv6与IPv4双栈,伴随着隧道等场景的功能性要求,需要在防火墙的设备使用时,积极使用针对性的过渡技术,并集成应用层网关当中,保障满足IPv6的解析、识别以及病毒的检测分析,这样就可以十分有效地实现双栈场景[2]。
(3)性能要求
当下IPv6报文结构当中,由于可以指出各种类型的数量扩展头,以此就使得防火墙等设备的解析报文的过程中,需要有效处理好各种IPv6头信息链,并较为细致地进行多个扩展头信息的数据包处理。甚至在出现异常的扩展头数据包之后,还需要对其提供更高的性能方面的要求[3]。
(4)策略要求
现阶段在构建出的IPv6与IPv4的多种网络的信息中,无论是在出口还是在数据中心中,都需要保障能够构建出的安全防护设备,不仅仅需要有着双栈配置,还需要重点对其不同的逻辑通道,进行针对性的安全需求分析以及控制。而对于安全策略而言,则需要保持着一致性的检查能力。
(5)安全网络检测
当下所使用的安全检测工具,就是一种在构建出的IPv6网络当中,基于网段的方式,进行相应的扫描处理。在上述工具的使用过程中,始终都需要在实际的调度策略的使用中进行深入的优化以及研究处理。其次,在相关专项检测工具的使用过程中,还需要重点对IPv6地址进行相应的检测分析。
(6)安全网络监测
现阶段在使用的防病毒、恶意软件等诸多方面的安全问题的处理中,始终需要保障IPv6进行有效的关联,因此就可以结合起各种风险问题,形成一个全面的威胁规则,这样的系统可以很好保障网络安全检测与防护技术。例如,在防病毒的系统当中,往往需要使用IPv6地址的方式,将其对使用的IP地址进行相应的排查,这样就可以形成规则库。
2.2业务安全性的提升
在校园网当中应用了IPv6之后,使得进行的科学合理部署方式,可以有效对用户的业务平台,进行针对性的用户访问的支持。在进行部署的过程中,需要对基于业务的系统IPv6,进行针对性的改造以及处理,并且在业务系统的升级工程中,还需要全面提升安全能力的评估效果,最后则需要进一步提升防护的整体手段。在使用双栈模式之后,可以很好形成针对性的业务系统部署模式,但是也相应需要重新对这种模式下的网络系统,进行针对性的重点问题评估,并全面增加安全防护的处理手段。其次,在使用了隧道模式部署的业务系统中,就是一种针对性隧道报文的重点保护,避免用户身份被冒充。而在现阶段进行翻译模式的部署过程中,其业务系统往往需要对翻译设备的安全防护,进行针对性的评估处理。而在防范系统拒绝了服务攻击之后,就会导致翻译设备可能出现宕机的问题,并对整个系统的业务造成直接的影响。在现阶段的数据行程中,由于呈现出多样化的处理效果,因此就需要在进行双栈处理之后,需要积极对其IPv6进行解析,以及提供良好的云防护处理。对于公网的用户而言,在校园网的网站群域名的解析过程中,其DNS可以利用请求的方式,对其转发到云防护节点中,进行全面清洗处理,这样就可以充分保障系统不会受到DDoS的攻击,或者对其病毒的入侵造成不良的影响。在访问数据的中心站群以及在数据流量的处理中,还需要基于IPv6进行独立的访问路由部署,以此保障实际运行的稳定性。
2.3管理安全
需要全面加强现阶段对于网站的监控力度,通过对IPv6地址进行系统的安全管理工作。而在完成了IPv6的黑白名单的能力提升之后,基于黑名单的方式就可以十分有效地进行具体的识别以及封堵处理。另外,在IPv6规模部署之后,还需要积极对安全功能进行全面测试以及分析,并及时采集各种类型的情报信息,以此实现系统的安全管理。综上所述,在当下校园网的建设中,采用IPv6网络协议之后,虽然引入了各种先进的安全防护处理方式,但是也需要积极应对各种全新出现的安全风险问题进行针对性的处理,以此全面提升校园网的整体安全性与稳定性。
参考文献:
[1]高秋燕.基于高校的IPv6网络安全研究与实现[J].信息系统工程,2021(02):55-56.
[2]邢帆.高校网络安全——网络信息安全工作组和IPv6应用工作组联合技术沙龙北京理工大学站[J].中国信息化,2017(10):19.
[3]孙雅娟,林红.关于高校IPv6校园网络中ND协议安全的研究[J].华北电力大学学报(社会科学版),2011(S2):321-324.
作者:张然 单位:陆军炮兵防空兵学院
