IPv6安全技术ISSUE1.X日期:杭州华三通信技术有限公司版权所有,未经授权不得使用与传播了解IPv6中的安全实现掌握IPv6ACL熟悉IPv6中的安全协议课程目标学习完本课程,您应该能够:IPv6安全概述IPv6中的ACLIPv6中的IPSec目录安全概述IPv4网络没有系统考虑安全性IPv4网络中的主要威胁地址扫描数据报头及内容的篡改碎片报文攻击网络层和传输层欺骗拒绝服务攻击(DoS)ARP和DHCP攻击路由攻击病毒及其他攻击内置安全性地址扫描IPv6有128位地址,任何一个网段都可能有2^64台主机,传统的地址扫描攻击不再有效转为针对DNS服务器的攻击报文篡改IPv6内嵌了安全协议,更好的保障数据传输IPv6安全概述IPv6中的ACLIPv6中的IPSec目录的分类基本IPv6ACL基本IPv6ACL只根据源IPv6地址信息制定匹配规则。基本IPv6ACL序号为2000~2999,和IPv4中的基本ACL序号范围相同。高级IPv6ACL高级IPv6ACL根据报文的源IPv6地址信息、目的IPv6地址信息、IP承载的协议类型、协议的特性等三层、四层信息来制定匹配规则。高级IPv6ACL序号为3000~3999,和IPv4中的高级ACL序号范围相同。简单IPv6ACL简单IPv6ACL根据报文的源IPv6地址信息、目的IPv6地址信息、IPv6地址组合标记、IP承载的协议类型、协议的特性等三层、四层信息来制定匹配规则,简单IPv6ACL在TCP标记、分片报文标记上有更丰富的内容。简单IPv6ACL序号为10000~42767。要求源IPv6地址前缀为2001::/64的主机可以访问公司内网,源IPv6地址前缀为2002::/64的主机禁止访问公司内网。[H3C]aclipv6number2000[H3C-acl6-basic-2000]rulepermitsource2001::/64[H3C-acl6-basic-2000]ruledenysource2002::1/64HostA2001::1HostB2002::1Ethernet0/0公司内网要求源IPv6地址前缀为2001::/64的主机可以访问IPv6地址前缀为2002::/64的主机,但禁止访问IPv6地址前缀为2003::/64的主机。[H3C]aclipv6number3000[H3C-acl6-adv-3000]rulepermitsource2001::/64destination2003::/64[H3C-acl6-adv-3000]ruledenysource2002::1/64destination2004::/64HostA2001::1HostC2003::1HostB2002::1Ethernet0/0在路由器上配置IPv6ACL10000,匹配来源于HostA的带有TCPRST标志的TCP报文。[H3C]aclipv6number10000[H3C-acl6-simple-10000]ruletcpaddr-flag4source2001::1/64tcp-typetcprstHostA2001::1RT的匹配顺序配置顺序匹配按照用户配置规则的先后顺序进行匹配深度优先匹配基本IPv6ACL比较源地址范围高级IPv6ACL依次比较协议范围、源地址范围、目的地址范围、UDP/TCP端口号范围IPv6安全概述IPv6中的ACLIPv6中的IPSec目录IPSec是一个协议套件,包含:安全协议认证和加密算法工作模式安全策略安全联盟和密钥管理IPv6中IPSec处理流程基本没有变化,但是由于IPv6采用全新的报文结构,增加了扩展头部,这使得安全协议的封装格式相对于IPv4中有所不同。中的安全协议和工作方式IPSec包括报文验证头协议AH(协议号51)和封装安全载荷协议ESP(协议号50)两个协议IPSec有隧道(tunnel)和传输(transport)两种工作方式中的封装传输模式封装数据原始IPv6头TCP扩展头数据原始IPv6头TCP逐跳选项头、路由头、分段头原始IPv6报文经ESP封装后的IPv6报文ESP目的地选项头ESP尾ESPICV加密验证中的封装隧道模式封装数据原始IPv6头TCP扩展头数据新IPv6头TCP原扩展头原始IPv6报文经ESP封装后的IPv6报文ESPESP尾ESPICV加密验证新扩展头原始IPv6头中的封装传输模式封装数据原始IPv6头TCP扩展头原始IPv6头原始IPv6报文经AH封装后的IPv6报文AH确定域验证包含不确定字段扩展头数据TCP中的封装隧道模式封装数据原始IPv6头TCP扩展头数据新IPv6头TCP原扩展头原始IPv6报文经AH封装后的IPv6报文AH新扩展头原始IPv6头确定域验证包含不确定字段对比IPv4中的安全威胁对IPv6中安全威胁进行概述介绍IPv6中ACL的分类和匹配顺序最后介绍了IPv6中ESP和AH的封装本章总结杭州华三通信技术有限公司