中科三方:IPv6升级改造防护措施,这些你都知道吗? – 作者:SFN2020

1、DHCPv6安全防护:DHCPv6的场景下,DHCPv6服务器或路由设备上配置DHCP安全防护,能防止非法DHCP用户攻击。与其他IPv6地址分配方式相比,DHCPv6可以更好地控制IPv6地址的分配。DHCPv6支持为网络设备分配IPv6前缀,便于全网络的自动配置和网络层次性管理。而且还可以分配DNS服务器IPv6地址等网络配置参数。

2、IPv6相关的防火墙(含WAF)的安全防护,防火墙(含WAF)的配置,如:

(1)防火墙的运行模式(过滤或NAT);

(2)防火墙的ACL级别(IP或端口);

(3)防火墙上可启用的额外功能(VPN、IDS、Web应用防护)的Web应用防火墙。

3、NAT转换设备安全防护:使用NAT的场景下,在NAT转换设备上配置了安全防护,抵御NAT相关攻击。按照NAT的具体工作方式,又可以做如下分类。

(1)应用层网关;

(2)探针技术STUN和TURN;

(3)中间件技术;

(4)中继代理技术。

4、路由协议安全防护:路由器、防火墙或三层交换机的路由配置,采用IPv6路由协议,如:OSPFv3认证功能,OSPFv3主要用于在IPv6网络中提供路由功能,OSPFv3是基于OSPFv2上开发用于IPv6网络的路由协议。其可以独立于网络层协议,并且其扩展性加强,可以满足未来的需求。

5、NAT安全溯源:使用NAT的场景下,能够记录IPv6源地址,抵御IPv6攻击。将某一时刻NAT地址池中特定合法IP的特定端口是哪个用户在使用的信息发送给日志服务器,由日志服务器保存一定时间,供相关部门查询。

6、IPv6地址过滤:防火墙或路由器进行IPv6地址过滤配置,具备非法地址过滤条目(如多播地址,链路本地地址作为源地址的过滤条目),具备单播逆向(uRPF)过滤等功能,可抵御非法路由条目攻击。

来源:freebuf.com 2021-05-20 14:06:33 by: SFN2020

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论