互联网急速前进 信息安全也需紧跟脚步

    互联网作为一种数据和信息交互的平台，随着它的不断普及，正成为现代信息安全防护的一个重要考量。可以说现代的信息安全防护有一半要取决于互联网的安全性。而互联网作为一种信息交互的平台，其本身也在不断进步，这种进步不仅对于它传输数据，处理数据能力有很大的助力，对于安全防护也有重大的影响。所以想要在未来的时代保护好自身的信息安全，了解互联网的“升级信息”也是十分重要的。由于操作系统的升级和互联网技术的发展，传统的互联网协议IPv4正不断向IPv6过渡与升级，这无疑是互联网快速发展的一个重要标志。下面就同信息安全领域的专家山丽网安一同前去了解这个“升级”过程，并探寻信息安全防护的要点吧。

       IPv4升级到IPv6是大势所趋

    随着IPv4地址的耗尽，以及网络接入用户的不断庞大，向IPv6过渡已经是势在必行，IPv6作为新一代的网络协议，不仅具有海量的IP地址资源，而且由于其数据包可以更大，从而实现更可靠、更快速地进行数据的传输，同时通过在数据报头中添加流标记和业务级别大大地改善QoS，且任何设备接入IPv6后即可获取相应的设置，大大地简化用户操作，满足移动性等要求，最重要的一点是，IPv6通过IPSec实现更高的安全性，实现了网络层的安全，但是这种安全并不绝对的，在新一代互联网中的安全威胁，还需要这个领域的专家找到完整的解决方案。

       IPv6关键技术大揭秘

    由于现阶段几乎所有的主流应用都是基于IPv4网络协议开发的，而新的IPv6协议与IPv4协议并不兼容，因此为了保障业务的连续性，也为了保障最终用户的上网体验，两个网络的并存需要持续很长一段时间，因此两网如何实现过渡和互通，成为运营商、数据中心和内容提供商关注的焦点，以下将就目前现存且常用的IPv4向IPv6过渡的几项关键技术作简单介绍。

    【双栈技术】所谓双栈技术，顾名思义，就是同时支持IPv4和IPv6两种协议的网络，即从用户端到业务终端连接的所有设备都需要支持两种协议。当两个端点通讯时会采用相应的协议进行数据的传输。双栈的解决方案同时支持IPv4与IPv6两种协议，无需考虑两者互通的问题。然而对于大型网络来说，由于涉及到产品的升级，甚至是需要更新换代，会耗费大量的财力人人力，因此可行性相对比较小，部署与规划都比较复杂，由于有两套协议，因此大大增加了网络管理人员的工作难度，另外由于主机上都需要支持两份协议，因此会消耗更多的内在和更多的CPU。此外，由于用户并未真正地迁移到IPv6网络上，因此对于IPv6的推广与发展直到了一定的阻碍作用。

    【翻译技术】翻译技术通常所指的就是NAT-PT，一般是在IPv4与IPv6的网络边缘部署翻译网关设备，实现IPv4与IPv6数据包的报文的翻译和转换，从而使IPv4用户可访问IPv6资源，同时IPv6用户也可去访问IPv4的资源。翻译网关的部署相对简单，且由于实现了多个IPv6的Host可以同时共用一个IPv4地址，一定程度上解决了地址枯竭的问题。然而由于网关是基于应用层的，针对不同的应用需要开发不同的ALG，而且现有的网络应用层出不穷，如果大范围的采用此方案，就需要实时的去开发满足各类应用的网关，成本较大。

    【隧道技术】隧道技术即将IPv4的数据包封装在IPv6数据包中进行传输，反之亦然，实现数据包在不同的网络中的顺利传送，隧道技术中包含6PE、6over4、隧道代理、ISATAP等多种方式。只要部署了足够多的隧道服务器，并有足够的网络带宽支撑，隧道的实现即是一种软件配置的过程，技术实现方式简单，能协助网络管理人员快速实现新一代协议的部署，并实现网络的优化。然而由于数据包需要封装和解封装，因此隧道设备一般都是成对部署的，与双栈方式相同的一个弊端就是不适用于大型网络的过渡。

    【Socks64技术】这种技术的基本原理是通过客户端与网关的通信，来实现IPv4与IPv6主机之间的互联互通。其中网关必须同时支持IPv4与IPv6两种协议栈，即在网关处需要同时接入IPv4与IPv6网络，来自客户端的数据包，无论是IPv4还是IPv6的，网关都可以进行处理，并转发至相应的目的端。由于网关来进行协议的转换与处理，因此一旦在大型网络中部署，必须要求这个网关的吞吐量、处理性能达到一定的标准，且在网络过渡时期，网关一般部署在网络边缘，便于能够更高效地处理用户请求。这种解决方案的优点即部署网关成功后，无需考虑用户端发起请求的类型，都可进行数据转发。但是客户端的推广安装成为一大问题，且由于是客户端与网关通讯的模式，因此会出现一定的性能瓶颈。

       IPv6的安全性

    在传统的IPv6网络体系架构里，网络安全的策略，是在应用层上进行安全的防范，或对邮件进行加密，在访问网页时进行数据加密，并未对网络层进行处理。在1995年，IETF制定了在IP层的安全规范，即IPSec(IP Security)。由于IPv6集成了IPSec协议，因此在IPv6的安全体系架构中，IPSec便是核心。

       【IPv6网络安全优势——IPSec】

    IPv6一个最大的优势就是，集成了IPSec，也就意味着它能够提供完备的安全服务，包括数据来源的强认证，保障数据传输的机密性和完整性，同时也可以进行数据的访问控制，抵御数据重复发送等攻击。为IPSec的体系结构，包含三个基本的协议，其中AH协议(验证头)用于保障数据的完整性和验证数据的来源;加密功能和机制是由ESP协议(封装安全载荷)来提供;同时ISAKMP协议(即密钥管理协议)主要用于实现前两种协议在交流时信息安全。

       【IPv6网络安全优势——地址可溯源】

    目前采用的IPv4地址协议，存在的最大问题，就是使用了大量的私有地址，通过NAT技术，多个私有地址，可能通过同一个公网IP去访问互联网，这种情况，就存在一个安全隐患，如果某一个用户发布了一条反动信息，或者非法言论，无法快速定位到IP，给网络管理人员造成很大的工作难度。IPv6海量的IP地址，完全摒弃了私有地址的概念，可为每一个终端分配一个单独使用的IP地址，一旦出现问题，将快速查找到源地址，保障网络的健康。

       【IPv6网络安全优势——反侦察能力】

    大部分的黑客或者恶意程序，都会通过扫描某个子网来最终确定攻击的IP地址、应用和服务，而IP地址量相当大，可大大降低网络侦察的能力，有效地防范类似的网络攻击。

       有利也有弊 IPv6安全隐患大公开

    虽然升级到IPv6是大势所趋，但是一帆风顺或者完美的升级是不存在的。对于技术水平和安全性远高于IPv4的IPv6也存在着它独有的问题。

   【无法解决网络层以上的安全问题】IPv6集成的IPSec功能，只是解决了网络层的安全问题，面对网络层以上的攻击，IPv6仍然无法解决的，如垃圾邮件、恶意代码、蠕虫、系统漏洞等攻击，还是需要相应的防病毒安全厂家来解决。

   【无法处理数据解密过程的攻击】IPv6采取对数据的加密，但是用户在正常接收数据后，需要解密，如何攻击者在解决过程中添加相关的干预手段，加长解密的时间，这将会消耗大量的系统资源，甚至可能造成系统瘫痪。

   【加密方面的安全隐患】IPSec中采用了加密算法和密钥的管理。对于加密算法，没有哪一个加密算法能够确保其绝对安全的，这是本身的局限性，另一方面，对于密钥的管理，由于依赖于PKI，而此项技术目前还未在国际上形成统一完善的标准，因此安全性是否可靠也有待考证。

       主动出击 用加密技术“补强”IPv6

    从IPv6存在的隐患我们可以看出，大多都是对于数据加密防护方面的，所以作为即将使用IPv6的我们来说，主动使用加密技术进行补强是最好的。而为了更全面、更灵活地应对各种安全问题和防护需求，采用国际先进的多模加密技术是最好的选择。

    多模加密技术采用对称算法和非对称算法相结合的技术，在确保了数据本源防护质量的同时，其多模的特性可以让用户自主地选择加密模式，从而能更灵活地应对各种防护需求。这种灵活性正好解决了IPv6对于数据层防护不足的弱点。而作为这种技术使用的典型代表，山丽防水墙的多模加密模块还采用了基于系统内核的透明加密，从而进一步保证了加密防护的便利性与完整性（加密与格式无关）。

    如果说在信息时代的初期，数据防护和网络防护还可以分开处理的话，那么在今后这个网络与数据高度结合的时代，这种方法将变得越来越不可行。所以在网络防护进化到IPv6时代的同时，数据层的加密防护也必须与时俱进，而采用灵活且具有针对性的加密软件进行防护就是最好的做法！