作為IPv4的進化版本——IPv6協(xié)議。它有著無可厚非的優(yōu)勢。那么具體的主要體現(xiàn)在安全方面。現(xiàn)在我們就來為大家總結(jié)一下IPv6協(xié)議的三點安全優(yōu)勢。具體的內(nèi)容請大家瀏覽文章來了解吧，希望對大家有所幫助。

1. 協(xié)議安全

在協(xié)議安全層面上,IPv6全面支持認證頭(AH)認證和封裝安全有效負荷(ESP)信息安全封裝擴展頭｡AH認證支持hmac_md5_96､hmac_sha_1_96認證加密算法,ESP封裝支持DES_CBC､3DES_CBC以及Null等三種算法｡

2. 網(wǎng)絡安全

(1)端到端的安全保證｡在兩端主機上對報文進行IPSec封裝,中間路由器實現(xiàn)對有IPSec擴展頭的IPv6報文進行透傳,從而實現(xiàn)端到端的安全｡

(2)對內(nèi)部網(wǎng)絡的保密｡當內(nèi)部主機與因特網(wǎng)上其他主機進行通信時,為了保證內(nèi)部網(wǎng)絡的安全,可以通過配置的IPSec網(wǎng)關(guān)實現(xiàn)｡因為IPSec作為IPv6的擴展報頭不能被中間路由器而只能被目的節(jié)點解析處理,因此IPSec網(wǎng)關(guān)可以通過IPSec隧道的方式實現(xiàn),也可以通過IPv6擴展頭中提供的路由頭和逐跳選項頭結(jié)合應用層網(wǎng)關(guān)技術(shù)來實現(xiàn)｡后者的實現(xiàn)方式更加靈活,有利于提供完善的內(nèi)部網(wǎng)絡安全,但是比較復雜｡

(3)通過安全隧道構(gòu)建安全的VPN｡此處的VPN是通過IPv6協(xié)議的IPSec隧道實現(xiàn)的｡在路由器之間建立IPSec的安全隧道,構(gòu)成安全的VPN是最常用的安全網(wǎng)絡組建方式｡IPSec網(wǎng)關(guān)的路由器實際上就是IPSec隧道的終點和起點,為了滿足轉(zhuǎn)發(fā)性能的要求,該路由器需要專用的加密板卡｡

(4)通過隧道嵌套實現(xiàn)網(wǎng)絡安全｡通過隧道嵌套的方式可以獲得多重的安全保護｡當配置了IPSec的主機通過安全隧道接入到配置了IPSee網(wǎng)關(guān)的路由器,并且該路由器作為外部隧道的終結(jié)點將外部隧道封裝剝除時,嵌套的內(nèi)部安全隧道就構(gòu)成了對內(nèi)部網(wǎng)絡的安全隔離｡

3. 其他安全保障

IPv6協(xié)議的IPSec為網(wǎng)絡數(shù)據(jù)和信息內(nèi)容的有效性､一致性以及完整性提供了保證,但是數(shù)據(jù)網(wǎng)絡的安全威脅是多層面的,它們分布在物理層､數(shù)據(jù)鏈路層､網(wǎng)絡層､傳輸層和應用層等各個部分｡

對于物理層的安全隱患,可以通過配置冗余設備､冗余線路､安全供電､保障電磁兼容環(huán)境以及加強安全管理來防護｡對于物理層以上層面的安全隱患,可以采用以下防護手段:通過諸如AAA､TACACS+､RADIUS等安全訪問控制協(xié)議控制用戶對網(wǎng)絡的訪問權(quán)限來防止針對應用層的攻擊;通過MAC地址和IP地址綁定､限制每端口的MAC地址使用數(shù)量､設立每端口廣播包流量門限､使用基于端口和VLAN的ACL､建立安全用戶隧道等來防范針對二層網(wǎng)絡的攻擊;通過進行路由過濾､對路由信息的加密和認證､定向組播控制､提高路由收斂速度､減輕路由振蕩的影響等措施來加強三層網(wǎng)絡的安全性｡路由器和交換機對IPv6協(xié)議的IPSec的完善支持保證了網(wǎng)絡數(shù)據(jù)和信息內(nèi)容的有效性､一致性以及完整性,并且為網(wǎng)絡安全提供了諸多解決辦法｡