第八章 网络安全技术与应用


             络广播。IPv6还具有限制组播传递范围的一些特性，组播消息可被限于某一特定

             区域、公司、位置或其他约定范围，从而减少带宽的使用并提高安全性。
                 2.IPv4与IPv6安全性比较
                 通过对比IPv4和IPv6的安全性，发现有些原理和特征基本无变化，主要包括
             3个方面。

                 （1）网络层以上的安全问题
                 主要是各种应用层的攻击，其原理和特征无任何变化。
                 （2）网络层数据保密性和完整性相关的安全问题

                 主要是窃听和中间人攻击。由于IPSec（Internet Protocol Security）没有解决
             大规模密钥分配和管理的难点，缺乏广泛的部署，在IPv6网络中，仍然存在一样
             的安全问题。
                 （3）仍然存在同网络层可用性相关的安全问题

                 主要是指网络系统的泛洪攻击，如TCP SYN Flood攻击等。
                 在升级引进IPv6以后，部分网络安全问题的原理和特征发生了很大变化，明
             显变化的安全问题主要包括4个方面。

                 ①踩点探测。是黑客攻击的一种基本方式和初始步骤。黑客实施攻击之前，
             需要先获得被攻击目标的IP地址、服务、应用等尽可能多的信息。IPv4协议的子
             网地址空间只有32位，容易被探测，IPv6的子网地址空间为天文数字相对安全

             很多。
                 ②非授权访问。IPv6下的访问控制同 IPv4 类似，按照防火墙或路由器的访
             问控制列表（ACL）等控制策略，对地址、端口等信息实施控制。对地址转换型

             防火墙，外网的终端看不到被保护主机的IP地址，使防火墙内部免受攻击，但是
             地址转换技术（NAT）和IPSec功能不匹配，在IPv6下很难通过地址转换型防火
             墙同IPSec通信。对包过滤型防火墙，若用IPSec的ESP，由于3层以上的信息不可
             见，更难控制。此外，由于ICMPv6对IPv6至关重要，如MTU发现、自动配置和

             重复地址检测等，对ICMP消息控制更需谨慎。
                 3.IPv6的安全机制
                 （1）协议安全

                 在协议安全层面，IPv6全面支持认证头AH认证和封装安全有效载荷ESP扩展
             头。支持数据源发认证、完整性和抗重放攻击等。


                                                                                    241