第06章 IPv6安全技术(v4.0)

IPv6安全技术ISSUE1.X日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播了解IPv6中的安全实现掌握IPv6ACL熟悉IPv6中的安全协议课程目标学习完本课程，您应该能够：IPv6安全概述IPv6中的ACLIPv6中的IPSec目录安全概述IPv4网络没有系统考虑安全性IPv4网络中的主要威胁地址扫描数据报头及内容的篡改碎片报文攻击网络层和传输层欺骗拒绝服务攻击（DoS）ARP和DHCP攻击路由攻击病毒及其他攻击内置安全性地址扫描IPv6有128位地址，任何一个网段都可能有2^64台主机，传统的地址扫描攻击不再有效转为针对DNS服务器的攻击报文篡改IPv6内嵌了安全协议，更好的保障数据传输IPv6安全概述IPv6中的ACLIPv6中的IPSec目录的分类基本IPv6ACL基本IPv6ACL只根据源IPv6地址信息制定匹配规则。基本IPv6ACL序号为2000～2999，和IPv4中的基本ACL序号范围相同。高级IPv6ACL高级IPv6ACL根据报文的源IPv6地址信息、目的IPv6地址信息、IP承载的协议类型、协议的特性等三层、四层信息来制定匹配规则。高级IPv6ACL序号为3000～3999，和IPv4中的高级ACL序号范围相同。简单IPv6ACL简单IPv6ACL根据报文的源IPv6地址信息、目的IPv6地址信息、IPv6地址组合标记、IP承载的协议类型、协议的特性等三层、四层信息来制定匹配规则，简单IPv6ACL在TCP标记、分片报文标记上有更丰富的内容。简单IPv6ACL序号为10000～42767。要求源IPv6地址前缀为2001::/64的主机可以访问公司内网，源IPv6地址前缀为2002::/64的主机禁止访问公司内网。[H3C]aclipv6number2000[H3C-acl6-basic-2000]rulepermitsource2001::/64[H3C-acl6-basic-2000]ruledenysource2002::1/64HostA2001::1HostB2002::1Ethernet0/0公司内网要求源IPv6地址前缀为2001::/64的主机可以访问IPv6地址前缀为2002::/64的主机，但禁止访问IPv6地址前缀为2003::/64的主机。[H3C]aclipv6number3000[H3C-acl6-adv-3000]rulepermitsource2001::/64destination2003::/64[H3C-acl6-adv-3000]ruledenysource2002::1/64destination2004::/64HostA2001::1HostC2003::1HostB2002::1Ethernet0/0在路由器上配置IPv6ACL10000，匹配来源于HostA的带有TCPRST标志的TCP报文。[H3C]aclipv6number10000[H3C-acl6-simple-10000]ruletcpaddr-flag4source2001::1/64tcp-typetcprstHostA2001::1RT的匹配顺序配置顺序匹配按照用户配置规则的先后顺序进行匹配深度优先匹配基本IPv6ACL比较源地址范围高级IPv6ACL依次比较协议范围、源地址范围、目的地址范围、UDP/TCP端口号范围IPv6安全概述IPv6中的ACLIPv6中的IPSec目录IPSec是一个协议套件，包含：安全协议认证和加密算法工作模式安全策略安全联盟和密钥管理IPv6中IPSec处理流程基本没有变化，但是由于IPv6采用全新的报文结构，增加了扩展头部，这使得安全协议的封装格式相对于IPv4中有所不同。中的安全协议和工作方式IPSec包括报文验证头协议AH（协议号51）和封装安全载荷协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传输（transport）两种工作方式中的封装传输模式封装数据原始IPv6头TCP扩展头数据原始IPv6头TCP逐跳选项头、路由头、分段头原始IPv6报文经ESP封装后的IPv6报文ESP目的地选项头ESP尾ESPICV加密验证中的封装隧道模式封装数据原始IPv6头TCP扩展头数据新IPv6头TCP原扩展头原始IPv6报文经ESP封装后的IPv6报文ESPESP尾ESPICV加密验证新扩展头原始IPv6头中的封装传输模式封装数据原始IPv6头TCP扩展头原始IPv6头原始IPv6报文经AH封装后的IPv6报文AH确定域验证包含不确定字段扩展头数据TCP中的封装隧道模式封装数据原始IPv6头TCP扩展头数据新IPv6头TCP原扩展头原始IPv6报文经AH封装后的IPv6报文AH新扩展头原始IPv6头确定域验证包含不确定字段对比IPv4中的安全威胁对IPv6中安全威胁进行概述介绍IPv6中ACL的分类和匹配顺序最后介绍了IPv6中ESP和AH的封装本章总结杭州华三通信技术有限公司