【51CTO.COM 獨家翻譯】從IPv4到IPv6的過渡勢必會迫使很多企業重新思考他們對于網絡所做的安全措施。其結果將是，從獲得確定的安全證實之前認定所有進入的信息流量均不安全這種做法，趨向一種"偏執的開放性"策略。

這就是Cisco著名的工程師Eric Vyncke的觀點。在上個月于倫敦舉行的RSA大會上，他指出只有當企業對于流入的信息流量更為開放，他們才能從IPv6中最終獲益。

很多企業可能會考慮延遲加入下一代IPv6互聯網協議的時間，因為第一個吃螃蟹的人總是得不到什么好處。但是，停留于IPv4免費的IP地址中高枕無憂的日子最終還是會走到頭的。屆時，所有人都將步入到IPv6的世界中去，它將提供128位地址（取代IPv4的32位地址），其結果是驚人的2 ^128 個不同的可用IP地址。這個數字足以為地球表面的每個原子分配一個唯一的IP地址，更不用說讓每臺連接到網絡的服務器、臺式電腦、筆記本、智能手機、網絡攝像頭和任何其它連接到企業網絡中的設備享受一個單獨的IP地址了。這種點對點的IPv6連接對許多企業所帶來的巨大好處將不言而喻。

NAPT的安全利益

在考慮它的安全含義以前，讓我們先來看看IPv4中網絡安全措施的關鍵部分。通常，一個企業在它內部的局域網（LAN）中會有一系列機器，所有這些機器都設有本地的IP地址。它們位于防火墻之后，并且共享有限的幾個使用網絡地址轉換（NAT）的公共IP地址，或者更準確地說，使用網絡地址端口轉換（NAPT）。這里當然也存在入侵防御系統（IPS）來處理5、6、7層的攻擊，而這種防御措施也可能是一個應用防火墻。

NAPT的好處在于它能夠為所有在公司局域網內的設備提供足夠多的私人IP地址，同時能夠保證這些設備的安全。這是因為在局域網中的設備的地址都不能被任何防火墻之外的人篡改。此外，由于在防火墻內的每臺設備對于外部攻擊者來說都"不可見"，所以想要襲擊他們并不容易。攻擊者只有通過內部網絡才可以進行網絡掃描，然后基于其拓撲架構和潛在的攻擊弱點形成一個入侵想法。

不論如何，這些都是傳統的思維，但是NAPT真的能夠提供足夠的安全嗎？不可否認，它的確可以阻止來自外部的連接嘗試，但是也無異于一個狀態性防火墻。任何情況下，都有辦法可以繞過NAPT然后通過私人IP地址登陸機器，例如，像Skype那樣使用反向隧道工具。

就掩藏位于防火墻之后的網絡拓撲結構而言，類似于計數ID領域、TCP協議的時間戳機制或者電子郵件RC 822都可以幫助攻擊者看清你的網絡設置，Vyncke補充說。

還有一點值得注意的是，NATP很難進行網絡取證，讓你不知道哪臺設備負責何種外部活動。很多類型的攻擊（比如網絡釣魚）實際上是神不知鬼不覺地始于防火墻內部用戶自己進行的惡意軟件下載。NAPT對此則束手無策。一旦電腦遭到惡意軟件的破壞，那么攻擊者就很容易使用網絡偵查工具（比如Nmap）從內部瀏覽你的網絡了。

為什么IPv6更好？

那么這一切與IP v6的安全性又有什么關系呢？這也勢必會引發是否存在某種形式的NAPT形式是可取的這個問題。如果你放棄了NAPT，那么在你的網絡中的任意設備和任何外部設備之間就會有潛在的點對點的受益--因為在IPv6下，每臺設備都可以擁有自己唯一的IP地址。

所以，在IPv6下不使用NAPT并不會因為攻擊者可以看到你的網絡拓撲結構而讓它變得更加脆弱。這是因為默認的IPv6子網絡擁有2^64的IP地址，所以即便是以10Mpps的速度，一個黑客也需要花上五萬年的時間來完成整個網絡掃描（Nmap甚至可能不能支持IPv6上的掃描）。這并不是說黑客不能對你的網絡進行偵查--這意味著他們會使用其它手段，比如對入侵計算機進行DNS記錄或者日志和網絡狀態數據檢查，之后鎖定其它的攻擊目標。

Vyncke的結論是，由于NAPT幾乎不能在IPv6環境下提供任何好處，所以為了確保從巨大的新地址空間中獲得最大效益，企業應該學會將之遺棄。因此，他建議對所有的信息流量都使用所謂偏執開放政策，而不是阻止所有外部信息流量進入內部網絡（除了少數幾個特例比如網絡服務器流量）。

信息流量檢查需要通過多個系統來實現，Vyncke建議。這些將包括一些類型的IP地址信譽系統來檢查信息流量并阻止任何來自低信譽IP地址的信息和使用動態簽名更新的入侵防御系統。

未來的安全IPv6網絡

Vyncke建議，默認的企業安全策略可以基于以下七個準則，取決于企業的特殊需求：

1.通過采用單一地址反向傳輸路徑轉發來拒絕所有擁有模糊源地址的數據包。

2.阻止一切來自于低信譽IPv6地址的信息流量。

3.檢查出站信息流量，允許返回流量匹配條件，但是僅僅是在它已經通過了IPS，以檢測用戶無意間帶入的任何僵尸網絡流量或者惡意軟件（也可能是由于釣魚攻擊引發）。

4.允許入站網絡流量進入在公共DNS中擁有AAAA記錄的地址。

5.如果某個內部地址從來沒有發送過任何來自企業外部的信息，阻止一切信息流量進入該內部地址。這是為了保護內部設備比如打印機不被外部訪問。

6.攔截所有入站SSL/TLS信息流量，用自簽名的證書來對它進行解密，在允許它們進入之前對它們進行檢查。

7.在通過IPS之后，默認允許所有其它入站信息流量，但是要對它們的速率進行限制，以此來避免設備超載。

對于許多企業而言，Vyncke的建議可能有些過于激進，在IPv6式的點到點連接的好處被證實之前尤為如此。但是不要忘記，企業之所以能夠樂意面對將局域網連入互聯網的風險，唯一的原因就是這么做所帶來的好處值得他們去冒這個風險。

作者：Paul Rubens

出處：http://www.enterprisenetworkingplanet.com

【51CTO.com獨家譯稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】