第7章 IPv6網(wǎng)絡(luò)安全

第7章IPv6網(wǎng)絡(luò)安全第7章IPv6網(wǎng)絡(luò)安全7.1基礎(chǔ)協(xié)議安全7.2交換網(wǎng)絡(luò)安全7.3路由協(xié)議安全7.4網(wǎng)絡(luò)邊界安全7.5業(yè)務(wù)通信安全2新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全IPv6在安全性方面的優(yōu)化新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全3攻擊溯源更容易：IPv6地址空間巨大，足以滿足任何未來可預(yù)計的地址需求，每個終端都可以獲得獨一無二的IPv6地址，無需使用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，這使得攻擊溯源變得更加容易。反黑客嗅探與掃描能力增強：在IPv6中，分配給終端的網(wǎng)絡(luò)地址段是64bit的前綴長度，龐大的地址空間使用傳統(tǒng)的嗅探與掃描方式已經(jīng)難以達成攻擊目標(biāo)。避免廣播攻擊：在IPv6中，廣播地址已經(jīng)被取消，從而避免了廣播地址引起的廣播風(fēng)暴和DDoS攻擊。減少分片攻擊：IPv6僅允許報文發(fā)送方執(zhí)行分片，禁止中間轉(zhuǎn)發(fā)設(shè)備對報文進行分片，在這個層面上，IPv6減少了分片攻擊的可能性。7.1基礎(chǔ)協(xié)議安全NDSnoopingIPv6RAGuardDHCPv6SnoopingIPSG新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全41NDSnooping新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全5NDP是IPv6協(xié)議體系中一個重要的基礎(chǔ)協(xié)議。NDP基于ICMPv6報文實現(xiàn)了地址解析，鄰居不可達性檢測，重復(fù)地址檢測，路由器發(fā)現(xiàn)，重定向等功能。NDP缺乏相應(yīng)的安全機制，容易受到攻擊者利用從而對網(wǎng)絡(luò)造成威脅。針對NDP的常見攻擊新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全6IPv6地址欺騙攻擊RA攻擊攻擊者仿冒其他節(jié)點發(fā)送NS/NA或RS報文給被攻擊者，從而對后者進行欺騙。攻擊者仿冒網(wǎng)關(guān)向其他用戶發(fā)送RA，篡改被攻擊用戶的ND表項或IPv6配置參數(shù)，造成這些用戶無法正常上網(wǎng)。NDSnooping簡介NDSnooping是針對IPv6ND鄰居發(fā)現(xiàn)的一種安全特性，常被部署于接入交換機，用于二層交換網(wǎng)絡(luò)環(huán)境?；舅悸穭澐志W(wǎng)絡(luò)安全邊界：NDSnooping將設(shè)備連接IPv6節(jié)點的接口區(qū)分為信任接口與非信任接口，避免來自非信任接口的安全威脅。嗅探網(wǎng)絡(luò)信息，建立地址綁定關(guān)系NDSnooping通過偵聽信任接口的RA建立前綴管理表NDSnooping通過偵聽用戶重復(fù)地址檢測DAD過程的鄰居請求報文NS來建立NDSnooping動態(tài)綁定表，從而記錄下報文的源IPv6地址、源MAC地址、所屬VLAN、入端口等信息，以防止后續(xù)仿冒用戶、仿冒網(wǎng)關(guān)的ND報文攻擊。7新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全NDSnooping基本概念：信任接口/非信任接口NDSnooping將設(shè)備連接IPv6節(jié)點的接口分為信任接口和非信任接口，不同接口類型對NDP報文的處理行為不同。缺省情況下，設(shè)備的所有接口均為非信任接口，網(wǎng)絡(luò)管理員通過手工配置的方式按需將特定接口指定為信任接口。信任接口非信任接口8新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全信任接口接收到的NDP報文，設(shè)備正常轉(zhuǎn)發(fā)，同時根據(jù)接收到的RA報文建立前綴管理表表項設(shè)備丟棄從非信任接口收到的RA報文；收到的NA/NS/RS報文，如果激活了NDP報文合法性檢查功能，設(shè)備會根據(jù)NDSnooping動態(tài)綁定表對這些報文進行檢查；其他類型的NDP報文，設(shè)備則正常轉(zhuǎn)發(fā)。NDSnooping基本概念2：前綴管理表RA報文中可以攜帶IPv6網(wǎng)絡(luò)前綴等信息，路由器通過RA報文發(fā)布IPv6前綴。終端通過解析RA報文獲得該前綴，然后自動產(chǎn)生IPv6地址；配置NDSnooping功能的設(shè)備偵聽從NDSnooping信任接口接收到的RA報文并在NDSnooping前綴管理表中生成相應(yīng)的表項。9新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全NDSnooping基本概念3：動態(tài)綁定表設(shè)備通過動態(tài)綁定表對非信任接口接收到的NA、NS和RS報文進行綁定表匹配檢查。NDSnooping動態(tài)綁定表的表項內(nèi)容包括IP報文的源IPv6地址、源MAC地址、VLAN和接口（報文的入接口）等信息。設(shè)備通過檢查DADNS報文來生成NDSnooping動態(tài)綁定表表項，通過檢查NS和NA報文來更新NDSnooping動態(tài)綁定表。10新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全①

Switch在信任接口上收到R1發(fā)送的RA報文，在前綴管理表中創(chuàng)建一個對應(yīng)的表項。②

Switch將RA報文進行轉(zhuǎn)發(fā)。③

PC2收到RA報文后解析出報文中的IPv6前綴，然后生成IPv6單播地址，此時該地址暫未正式啟用。④

PC2針對即將啟用的IPv6單播地址進行DAD檢測，它發(fā)送NS報文到網(wǎng)絡(luò)中，報文中的“TargetAddress”字段包含待檢測的IPv6單播地址。⑤

Switch收到PC2發(fā)送的DADNS報文后，新建或者更新NDSnooping動態(tài)綁定表表項并轉(zhuǎn)發(fā)該報文。NDSnooping工作原理：防地址欺騙攻擊11新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全NDSnooping工作原理：防RA攻擊12新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全2IPv6RAGuard新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全13RA報文是NDP中用于IPv6路由器通告相關(guān)網(wǎng)絡(luò)信息（如IPv6地址前綴、路由器優(yōu)先級等）的一種重要的報文類型。攻擊者可以利用RA報文實施攻擊，例如仿冒網(wǎng)關(guān)向其他設(shè)備發(fā)送RA報文，改寫這些設(shè)備的鄰居表項，或?qū)е滤鼈冇涗涘e誤的IPv6配置參數(shù)，造成這些設(shè)備無法正常通信。IPv6RAGuard是一種可部署在二層設(shè)備上的針對RA攻擊的安全功能。IPv6RAGuard應(yīng)用場景1：通過接口角色防RA攻擊14新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全網(wǎng)絡(luò)管理員為設(shè)備接口配置接口角色，設(shè)備根據(jù)接口角色選擇轉(zhuǎn)發(fā)還是丟棄該RA報文：若接口角色為路由器（Router），則直接轉(zhuǎn)發(fā)RA報文；若接口角色為用戶（Host），則直接丟棄RA報文。IPv6RAGuard應(yīng)用場景2：通過策略防RA攻擊15新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全網(wǎng)絡(luò)管理員為接收RA報文的接口配置IPv6RAGuard策略，按照策略內(nèi)配置的匹配規(guī)則對RA報文進行過濾：若IPv6RAGuard策略中未配置任何匹配規(guī)則，則應(yīng)用該策略的接口直接轉(zhuǎn)發(fā)RA報文；若IPv6RAGuard策略中配置了匹配規(guī)則，則RA報文需成功匹配策略下所有規(guī)則后才會被轉(zhuǎn)發(fā)；否則，該報文被丟棄。在部署IPv6RAGuard時，可能會出現(xiàn)如下情況：（1）網(wǎng)絡(luò)管理員無法確定交換機接口所連接的設(shè)備類型，因此無法明確接口的IPv6RAGuard角色；（2）網(wǎng)絡(luò)管理員希望對接口上收到的某些滿足要求的RA報文進行轉(zhuǎn)發(fā)，其他RA報文丟棄。3DHCPv6Snooping實際網(wǎng)絡(luò)中，DHCP被廣泛應(yīng)用DHCP客戶端（DHCPClient）通過該協(xié)議自動從服務(wù)端（DHCPServer）獲取IPv6地址/前綴及其他網(wǎng)絡(luò)配置參數(shù)。DHCP適用于設(shè)備規(guī)模較大，或?qū)ε渲镁S護效率有高要求的場景。16新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全DHCPv6存在的安全問題DHCPServer和DHCPClient之間沒有認(rèn)證機制，容易產(chǎn)生網(wǎng)絡(luò)安全威脅。若網(wǎng)絡(luò)中的非法DHCP服務(wù)器為用戶分配錯誤的IP地址和其他網(wǎng)絡(luò)參數(shù)，將會對網(wǎng)絡(luò)造成非常大的危害。17新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全DHCPSnooping簡介DHCPSnooping是一種針對DHCP的安全特性。DHCPSnooping可部署在交換機上用于確保DHCPClient從合法的DHCPServer獲取IP地址。DHCPSnooping能夠偵聽DHCP報文交互過程，并建立DHCPSnooping綁定表項來記錄DHCP客戶端IP地址與MAC地址等參數(shù)的對應(yīng)關(guān)系，然后基于這些表項防止DHCP攻擊行為。DHCPSnooping分為DHCPv4Snooping和DHCPv6Snooping，兩者實現(xiàn)原理相似。18新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全DHCPSnooping信任功能DHCPSnooping的信任功能，能夠保證客戶端從合法的服務(wù)器獲取IP地址。該功能將接口分為信任接口和非信任接口：信任接口正常接收DHCPv6Server響應(yīng)的Advertise、Reply等報文。在實際應(yīng)用中，通常將連接合法DHCPv6Server的接口指定為信任接口。非信任接口丟棄收到的Advertise、Reply報文。在實際應(yīng)用中，通常將連接合法DHCPv6Server之外的接口指定為非信任接口。DHCPSnooping信任端口DHCPSnooping非信任端口19新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全DHCPSnooping綁定表交換機激活DHCPv6Snooping功能后偵聽DHCPv6報文交互，并解析這些報文，然后生成綁定表項由于DHCPv6Snooping綁定表記錄了DHCPv6Client的相關(guān)網(wǎng)絡(luò)參數(shù)，因此交換機收到報文后，將報文與綁定表中的表項進行匹配、檢查，能夠有效防范非法用戶的攻擊行為。20新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全DHCPSnooping的應(yīng)用場景21新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全防止DHCPv6Server仿冒攻擊防止DHCPv6報文泛洪攻擊防止仿冒DHCPv6報文攻擊防止DHCPv6Server拒絕服務(wù)攻擊4IPSG隨著網(wǎng)絡(luò)規(guī)模越來越大，IP地址欺騙攻擊也逐漸增多。網(wǎng)絡(luò)中一些攻擊者可能還通過偽造合法終端的IPv6地址進行終端仿冒，從而對網(wǎng)絡(luò)造成威脅。IPSG（IPSoureceGuard）是一種針對IP報文的安全技術(shù)。在實際網(wǎng)絡(luò)中，IPSG常用于防止主機私自更改IPv6地址，或限制非法主機接入22新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全IPSG與綁定表IPSG利用綁定表（源IP地址、源MAC地址、所屬VLAN、入接口的綁定關(guān)系）去匹配檢查二層接口上收到的IP報文，只有匹配綁定表的報文才允許通過，其他報文將被丟棄。IPSG可以針對IPv4及IPv6報文進行匹配及檢查。綁定表類型生成過程靜態(tài)綁定表網(wǎng)絡(luò)管理員通過配置命令手工配置的綁定表DHCPSnooping動態(tài)綁定表通過DHCPv6Snooping管理的動態(tài)綁定表NDSnooping動態(tài)綁定表通過NDSnooping管理的動態(tài)綁定表23新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全IPSG的基本原理24新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全PC2仿冒PC1的地址向Server發(fā)送報文。Switch激活I(lǐng)PSG功能，收到PC2發(fā)送的報文后在綁定表中進行檢查。報文與綁定表項不匹配，被丟棄。7.2交換網(wǎng)絡(luò)安全新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全25端口安全端口隔離1端口安全PortSecurity應(yīng)用場景1：某些企業(yè)內(nèi)網(wǎng)需要對接入到交換機特定接口的終端的數(shù)量做限制應(yīng)用場景2：交換機特定接口上僅允許特定的終端接入，并通過禁止特定終端接入到交換機的其他接口從而保證員工不能私自更換辦公位置。26新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全在交換機Switch1上部署端口安全，限制接口的MAC地址學(xué)習(xí)數(shù)量，并且配置出現(xiàn)越限時的保護措施。在交換機接口上維護安全MAC地址表項，阻止非法用戶通過本接口和交換機通信，從而增強設(shè)備的安全性安全MAC地址表類型定義安全動態(tài)MAC地址激活PortSecurity并且未激活StickyMAC功能時轉(zhuǎn)換的MAC地址表項。這些MAC地址表項在交換機重啟后會被丟失。安全靜態(tài)MAC地址激活PortSecurity時，網(wǎng)絡(luò)管理員手工配置的靜態(tài)MAC地址表項，這些表項不會被老化，手動保存配置后重啟設(shè)備不會丟失。StickyMAC地址激活PortSecurity后又同時激活StickyMAC功能后轉(zhuǎn)換到的MAC地址表項，這些表項不會被老化，手動保存配置后重啟設(shè)備不會丟失。27新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全當(dāng)交換機接口學(xué)習(xí)到的MAC地址達到PortSecurity設(shè)置的上限后，交換機將不在該接口上繼續(xù)學(xué)習(xí)MAC地址，來其他非信任的終端便無法通過該接口進行通信。同時，交換機會根據(jù)配置的動作對接口做保護處理。缺省情況下，保護動作是丟棄該報文并上報告警。2端口隔離28新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全PortIsolation應(yīng)用場景1：缺省時，相同VLAN內(nèi)的節(jié)點之間可直接進行二層通信，為了實現(xiàn)二層隔離，可將不同的用戶加入不同的VLAN。但若企業(yè)規(guī)模很大，則需耗費大量的VLAN，且增加了配置維護工作量。應(yīng)用場景2：IPv6設(shè)備的接口一旦UP之后可能會自動配置IPv6鏈路本地地址，然后便可以直接與相同VLAN內(nèi)的其他設(shè)備通信，這增加了安全隱患。端口隔離技術(shù)采用端口隔離功能，可以實現(xiàn)同一VLAN內(nèi)端口之間的隔離。將需要隔離的端口加入到隔離組中，就可以實現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離。不同隔離組的接口之間或者不屬于任何隔離組的接口與其他接口之間都能進行正常的數(shù)據(jù)轉(zhuǎn)發(fā)。29新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全端口隔離類型與隔離模式30新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全雙向隔離單向隔離隔離模式L2ALL隔離組內(nèi)接口之間二層隔離，但是可通過三層路由實現(xiàn)互通。缺省情況下，隔離模式為二層隔離三層互通。隔離組內(nèi)接口之間二層、三層都不能互通。隔離類型同一個隔離組內(nèi)的接口相互之間無法通信。若在接口A上配置它與接口B隔離，則從接口A發(fā)送的報文不能到達接口B，但從接口B發(fā)送的報文可以到達接口A。7.3路由協(xié)議安全新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全311.OSPFv3單播欺騙報文遠程攻擊者偽裝成鄰居路由器發(fā)布高優(yōu)先級的路由信息2.非法接入偽造合法路由消息試圖加入網(wǎng)絡(luò)建立鄰居關(guān)系3.路由泄露(routeleak)/路由劫持(routehijack)發(fā)布非法路由信息。4.路由信息泄露在交換機上捕獲路由消息，窺探網(wǎng)絡(luò)路由信息。5.CPU效率DoS攻擊發(fā)送大量控制平面路由消息（如OSPFv3消息），占用CPU資源，造成DoS攻擊IPv6IGP協(xié)議安全：OSPFv3新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全321.GTSM（GeneralizedTTLSecurityMechanism，通用TTL安全機制）如果攻擊者模擬真實的OSPFv3單播報文對設(shè)備進行攻擊，GTSM可通過檢測報文TTL值是否在一個預(yù)先定義好的范圍內(nèi)來進行保護（RFC5082）。2.報文認(rèn)證開啟OSPFv3報文認(rèn)證功能，可對設(shè)備間交互的OSPFv3協(xié)議報文進行檢查，僅當(dāng)設(shè)備配置正確的口令才能夠正常建立鄰接關(guān)系。3.路由策略通過路由策略，對發(fā)送、接收的路由的信息過濾。4.IPSec對協(xié)議報文進行加密，并實現(xiàn)真實性、合法性、完整性校驗。5.CPU防攻擊配置上送CPU報文的限速規(guī)則，抵御DoS攻擊。7.4網(wǎng)絡(luò)邊界安全新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全33

網(wǎng)絡(luò)接入控制

防火墻1網(wǎng)絡(luò)準(zhǔn)入控制網(wǎng)絡(luò)接入控制NAC（NetworkAdmissionControl）通過對接入網(wǎng)絡(luò)的設(shè)備和用戶的認(rèn)證保證網(wǎng)絡(luò)的安全，是一種“端到端”的安全技術(shù)。34新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全1.

終端接入網(wǎng)絡(luò)并向接入設(shè)備發(fā)起網(wǎng)絡(luò)接入請求（通常會攜帶賬號，密碼等認(rèn)證信息）。接入設(shè)備通常為網(wǎng)絡(luò)設(shè)備，例如交換機、路由器或防火墻等。2.

接入設(shè)備將收到的認(rèn)證信息通過AAA協(xié)議（如RADIUS）向認(rèn)證服務(wù)器發(fā)起認(rèn)證請求。3.

認(rèn)證服務(wù)器對用戶提供的賬號、密碼等進行校驗。認(rèn)證服務(wù)器可以使用本地的數(shù)據(jù)源（一個保存了用戶合法賬號及密碼信息的數(shù)據(jù)庫），也可以使用外部數(shù)據(jù)源。4.

認(rèn)證服務(wù)器進行用戶授權(quán)，將授權(quán)結(jié)果通知接入設(shè)備。5.

接入設(shè)備根據(jù)收到的授權(quán)結(jié)果開啟/禁止終端的網(wǎng)絡(luò)訪問，執(zhí)行授權(quán)結(jié)果。802.1X認(rèn)證新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全35簡介工作原理用戶終端設(shè)備作為802.1X客戶端連接到接入設(shè)備（例如交換機）接入設(shè)備通過AAA協(xié)議與認(rèn)證服務(wù)器通信。用戶終端需支持802.1X認(rèn)證并運行802.1X客戶端軟件，通過該軟件發(fā)起802.1X認(rèn)證，認(rèn)證過程中，用戶在客戶端界面上輸入用戶名和密碼。應(yīng)用場景適用于對安全要求較高的認(rèn)證場景，例如企業(yè)辦公場景。802.1X協(xié)議是一種基于接口的網(wǎng)絡(luò)接入控制協(xié)議，是一種廣泛應(yīng)用于企業(yè)網(wǎng)絡(luò)的認(rèn)證方式。MAC地址認(rèn)證新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全36適用于打印機、傳真機等啞終端認(rèn)證的場景。應(yīng)用場景終端連接到接入設(shè)備后，通過NDP、DHCPv6等報文觸發(fā)認(rèn)證。接入設(shè)備將終端的MAC地址作為身份憑據(jù)發(fā)送到認(rèn)證服務(wù)器進行認(rèn)證。用戶終端設(shè)備不需要安裝任何客戶端軟件，并且認(rèn)證過程中，用戶也不需要在終端設(shè)備上輸入用戶名或密碼。工作原理MAC地址認(rèn)證是一種基于端口和MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進行控制的認(rèn)證方式。該認(rèn)證方式以用戶的MAC地址作為身份憑據(jù)到認(rèn)證服務(wù)器進行認(rèn)證。簡介Portal認(rèn)證新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全37簡介工作原理客戶端連接到接入設(shè)備后，客戶端通過Web瀏覽器訪問網(wǎng)絡(luò)資源時，接入設(shè)備會將該訪問重定向到Portal服務(wù)器；Portal服務(wù)器向客戶端推送用于認(rèn)證的Portal頁面，用戶在頁面中輸入用戶名及密碼進行認(rèn)證，認(rèn)證成功后，客戶端即可正常訪問網(wǎng)絡(luò)資源。Portal認(rèn)證是一種基于網(wǎng)頁的認(rèn)證方式（也被稱為Web認(rèn)證），客戶端一般是運行HTTP/HTTPS協(xié)議的瀏覽器。應(yīng)用場景直接在Web頁面上認(rèn)證，簡單方便且便于運營。主要用于無特殊客戶端軟件要求的接入場景或訪客接入場景，，例如酒店客房等。2防火墻新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全38應(yīng)用場景：企業(yè)網(wǎng)絡(luò)通常員工人數(shù)眾多、業(yè)務(wù)復(fù)雜，極易成為各類網(wǎng)絡(luò)威脅的攻擊目標(biāo)。需要邊界設(shè)備具備威脅檢測與防御能力，能夠在持續(xù)大流量環(huán)境下穩(wěn)定運行。防火墻可以作為企業(yè)的出口網(wǎng)關(guān)，連接企業(yè)內(nèi)網(wǎng)與外部網(wǎng)絡(luò)，對企業(yè)的網(wǎng)絡(luò)邊界進行安全防護。部署防火墻后，可以基于防火墻劃分網(wǎng)絡(luò)安全區(qū)域，實現(xiàn)內(nèi)部網(wǎng)絡(luò)或關(guān)鍵業(yè)務(wù)系統(tǒng)與外部網(wǎng)絡(luò)的安全隔離，隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。防火墻典型應(yīng)用場景新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全39防火墻基本概念：安全區(qū)域新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全40安全區(qū)域（SecurityZone）是防火墻的一個基本安全概念。防火墻大部分的安全策略都基于安全區(qū)域?qū)嵤?。安全區(qū)域是綁定了一個或多個物理接口或邏輯接口的邏輯實體，綁定了同一個安全區(qū)域的接口下的網(wǎng)絡(luò)具有相同的安全屬性。GE1/0/1GE1/0/2GE1/0/3DMZTrustUntrustServersPCInternet防火墻企業(yè)內(nèi)網(wǎng)外部網(wǎng)絡(luò)防火墻上定義了三個安全區(qū)域：Trust（受信區(qū)域）、DMZ（DemilitarizedZone，非軍事化區(qū)域）和Untrust（非受信區(qū)域）。三個安全區(qū)域的安全級別由高到低。防火墻基本概念：安全策略新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全41安全策略（SecurityPolicy）是防火墻的核心特性，作用是對通過防火墻的數(shù)據(jù)流進行檢驗，只有符合安全策略的流量才能通過防火墻進行轉(zhuǎn)發(fā)。7.5業(yè)務(wù)通信安全新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全42訪問控制列表ACLIPSec1ACL新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全43ACL（AccessControlList，訪問控制列表），通過ACL實現(xiàn)流量匹配，并應(yīng)用關(guān)聯(lián)ACL的流量過濾器（TrafficFilter）來實現(xiàn)流量過濾。ACL功能新一代互聯(lián)網(wǎng)技術(shù)與實踐-IPv6網(wǎng)絡(luò)安全44ACL是一種通過名稱或編號定義的列表，可以