◆張然

高校IPv6網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與應(yīng)對(duì)措施

◆張然

（陸軍炮兵防空兵學(xué)院 安徽 230031）

IPv6網(wǎng)絡(luò)協(xié)議在我國(guó)高校中的廣泛應(yīng)用。雖然IPv6引入了大量全新的安全機(jī)制，一定程度上保證了網(wǎng)絡(luò)安全，并且可以在運(yùn)行的過程中最大程度控制網(wǎng)絡(luò)風(fēng)險(xiǎn)以及威脅。但是，在IPv6網(wǎng)絡(luò)協(xié)議中，始終存在著一定的漏洞問題。本文主要基于當(dāng)下高校IPv6網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與應(yīng)對(duì)進(jìn)行詳細(xì)的闡述，供相關(guān)讀者參考。

高校教育；IPv6；網(wǎng)絡(luò)安全；系統(tǒng)風(fēng)險(xiǎn)

當(dāng)下的IPv6網(wǎng)絡(luò)協(xié)議技術(shù)水平正在高速發(fā)展以及不斷提升。在教育行業(yè)，高?；ヂ?lián)網(wǎng)的建設(shè)效果明顯改善。進(jìn)行教育網(wǎng)絡(luò)建設(shè)的過程，有效推動(dòng)了IPv6的建設(shè)進(jìn)程，因此就更加需要重視網(wǎng)絡(luò)安全方面的影響，以此形成一種完善的安全防范機(jī)制，這樣才可以實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的防控以及預(yù)警。

1 IPv6的部署安全風(fēng)險(xiǎn)

1.1 系統(tǒng)安全風(fēng)險(xiǎn)

（1）IPv4的安全威脅

在采用IPv6協(xié)議的過程中，協(xié)議功能的發(fā)揮，雖然已經(jīng)有效提升了系統(tǒng)的安全性，但是在進(jìn)行數(shù)據(jù)傳輸機(jī)制的設(shè)計(jì)中，卻一直延續(xù)使用著IPv4的機(jī)制，因此就會(huì)導(dǎo)致在時(shí)間IDE數(shù)據(jù)傳輸中，無法針對(duì)應(yīng)用層以及在傳輸層中的惡意攻擊手段，起到針對(duì)性的處理。

（2）IPv6協(xié)議的安全威脅

當(dāng)下在構(gòu)建出的全新網(wǎng)絡(luò)協(xié)議當(dāng)中，采用了全新的流標(biāo)簽字段、擴(kuò)展報(bào)頭，這樣就可以起到對(duì)原本ARP鄰居有發(fā)現(xiàn)的安全隱患，但是會(huì)被當(dāng)作嗅探攻擊的基礎(chǔ)，因此，會(huì)導(dǎo)致在實(shí)際的運(yùn)行過程中，經(jīng)常受到NDP攻擊、路由重定向攻擊等。

（3）過渡階段的安全風(fēng)險(xiǎn)

高校在進(jìn)行全新網(wǎng)絡(luò)協(xié)議的構(gòu)建過程中，所選擇的過渡階段，都始終需要充分結(jié)合其實(shí)際的情況，進(jìn)行過渡技術(shù)的使用。但是，在現(xiàn)階段進(jìn)行網(wǎng)絡(luò)技術(shù)的使用中，受到成本、網(wǎng)絡(luò)規(guī)模以及升級(jí)難度等諸多因素的限制，使得在進(jìn)行處理的過程中，就需要進(jìn)行針對(duì)性的分析?，F(xiàn)階段所采用了雙棧、隧道或者翻譯技術(shù)，都會(huì)導(dǎo)致出現(xiàn)各種類型的安全挑戰(zhàn)。

例如，在雙棧的環(huán)境下，使得校園網(wǎng)的建設(shè)過程中，會(huì)形成IPv6與IPv4這兩種邏輯通道。其次，在其中一個(gè)協(xié)議的漏洞出現(xiàn)之后，所可能引發(fā)的攻擊，就會(huì)導(dǎo)致支持雙棧網(wǎng)絡(luò)節(jié)點(diǎn)的方式，對(duì)其邏輯上的兩張網(wǎng)絡(luò)，進(jìn)行相互的傳播處理。這樣的系統(tǒng)形式，往往會(huì)導(dǎo)致對(duì)整個(gè)校園網(wǎng)造成直接的影響。其次，在形成的雙棧形式，也會(huì)導(dǎo)致網(wǎng)絡(luò)管理的形式更加復(fù)雜多變，在網(wǎng)絡(luò)運(yùn)行的過程中，也提升了受到攻擊的可能性。

而在隧道機(jī)制當(dāng)中，存在的風(fēng)險(xiǎn)基本上都是由于校園網(wǎng)無法進(jìn)行整體的升級(jí)，而是需要利用客戶端，或者使用路由器的方式，進(jìn)行全新自動(dòng)化隧道的構(gòu)建，這樣才可以實(shí)現(xiàn)對(duì)IPv6的接入。這樣全新的隧道出口路由器，就會(huì)成為被攻擊的重點(diǎn)目標(biāo)。一旦攻擊者掌握其IPv6協(xié)議當(dāng)中的漏洞，就會(huì)讓其隧道節(jié)點(diǎn)受到直接的攻擊，以此導(dǎo)致整體校園網(wǎng)的可靠性受到嚴(yán)重的影響。

最后對(duì)于翻譯機(jī)制而言，就是一種經(jīng)常出現(xiàn)的DDoS攻擊風(fēng)險(xiǎn)性行為。在現(xiàn)階段發(fā)起攻擊的過程中，會(huì)制造出大量的地址轉(zhuǎn)換的請(qǐng)求，以此使得翻譯節(jié)點(diǎn)，無法實(shí)現(xiàn)對(duì)用戶的正常分配，進(jìn)而使得對(duì)整體網(wǎng)絡(luò)造成直接的影響。

1.2 網(wǎng)絡(luò)設(shè)備安全風(fēng)險(xiǎn)

（1）網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)防護(hù)

在現(xiàn)階段構(gòu)建出的校園網(wǎng)當(dāng)中，存在著用戶量大、有線以及無線終端相結(jié)合的網(wǎng)絡(luò)特征。因此，在采用了IPv6之后，使得全部終端都可以自由進(jìn)行全球單播地址的使用，而不再適用NAT，但是這樣也會(huì)導(dǎo)致喪失了NAT的保護(hù)機(jī)制。在現(xiàn)階段的校園網(wǎng)當(dāng)中，設(shè)置出的防火墻、數(shù)據(jù)中心等，都需要進(jìn)行更加精密的劃分，以此保障訪問控制策略配置有著更高的精確度。另外，在安全設(shè)備的使用過程中，還要利用雙棧的配置方式，以此提升了單點(diǎn)的故障率。

（2）應(yīng)用層安全防護(hù)風(fēng)險(xiǎn)

當(dāng)下在應(yīng)用層的安全防護(hù)設(shè)備使用過程中，針對(duì)采用的IPv6報(bào)文解析能力，往往需要在設(shè)計(jì)的網(wǎng)絡(luò)規(guī)格部署過程中，進(jìn)行針對(duì)性的檢驗(yàn)。而在網(wǎng)絡(luò)流量的控制及分析系統(tǒng)的控制中，也會(huì)面臨著相似的風(fēng)險(xiǎn)性問題。

在出現(xiàn)了類似的風(fēng)險(xiǎn)之后，也會(huì)導(dǎo)致在DNS產(chǎn)品上，使得校園網(wǎng)的域名解析中，基于遞歸與轉(zhuǎn)發(fā)這兩種形式進(jìn)行處理。因此，一旦在遞歸的DNS產(chǎn)品上，存在著大量域名請(qǐng)求記錄，就會(huì)留下諸多的校園網(wǎng)正式地址。因此，一旦系統(tǒng)遭受到了入侵，就會(huì)直接導(dǎo)致這些重要信息的外泄。其次，還會(huì)導(dǎo)致在進(jìn)行使用的過程中，存在著病毒性的問題。

在類似的風(fēng)險(xiǎn)行為問題，受到IPv6環(huán)境的影響，就會(huì)使得面向Web服務(wù)以及數(shù)據(jù)庫(kù)的服務(wù)中，會(huì)試圖對(duì)服務(wù)器的權(quán)限以及遠(yuǎn)程命令的執(zhí)行進(jìn)行相應(yīng)的處理。對(duì)于危害程度較高的Web服務(wù)安全和數(shù)據(jù)安全，會(huì)導(dǎo)致造成較為嚴(yán)峻的安全挑戰(zhàn)與風(fēng)險(xiǎn)性問題。

2 校園網(wǎng)部署IPv6的安全應(yīng)對(duì)措施

進(jìn)行校園網(wǎng)的構(gòu)建過程中，為了保障IPv6的順利使用，就需要有效建立基于IPv6協(xié)議下的安全風(fēng)險(xiǎn)防御體系，這就可以很好在后續(xù)的網(wǎng)絡(luò)規(guī)劃以及建設(shè)的過程中，保障各方面的安全性與穩(wěn)定性。特別是在管理的過程中，形成較強(qiáng)的安全體系。

2.1 系統(tǒng)安全構(gòu)建

（1）設(shè)備升級(jí)

在現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)技術(shù)下，由于IPv6的一些功能始終存在著一定的安全風(fēng)險(xiǎn)，因此就需要在使用的過程中，對(duì)其設(shè)備進(jìn)行全面的安全防護(hù)的升級(jí)以及調(diào)整，這樣就可以讓系統(tǒng)可以實(shí)現(xiàn)良好處理[1]。

（2）功能要求

當(dāng)下在安全防護(hù)的設(shè)備使用中，由于需要支持IPv6環(huán)境，因此就需要在過渡的過程中，基于IPv6與IPv4雙棧，伴隨著隧道等場(chǎng)景的功能性要求，需要在防火墻的設(shè)備使用時(shí)，積極使用針對(duì)性的過渡技術(shù)，并集成應(yīng)用層網(wǎng)關(guān)當(dāng)中，保障滿足IPv6的解析、識(shí)別以及病毒的檢測(cè)分析，這樣就可以十分有效地實(shí)現(xiàn)雙棧場(chǎng)景[2]。

（3）性能要求

當(dāng)下IPv6報(bào)文結(jié)構(gòu)當(dāng)中，由于可以指出各種類型的數(shù)量擴(kuò)展頭，以此就使得防火墻等設(shè)備的解析報(bào)文的過程中，需要有效處理好各種IPv6頭信息鏈，并較為細(xì)致地進(jìn)行多個(gè)擴(kuò)展頭信息的數(shù)據(jù)包處理。甚至在出現(xiàn)異常的擴(kuò)展頭數(shù)據(jù)包之后，還需要對(duì)其提供更高的性能方面的要求[3]。

（4）策略要求

現(xiàn)階段在構(gòu)建出的IPv6與IPv4的多種網(wǎng)絡(luò)的信息中，無論是在出口還是在數(shù)據(jù)中心中，都需要保障能夠構(gòu)建出的安全防護(hù)設(shè)備，不僅僅需要有著雙棧配置，還需要重點(diǎn)對(duì)其不同的邏輯通道，進(jìn)行針對(duì)性的安全需求分析以及控制。而對(duì)于安全策略而言，則需要保持著一致性的檢查能力。

（5）安全網(wǎng)絡(luò)檢測(cè)

當(dāng)下所使用的安全檢測(cè)工具，就是一種在構(gòu)建出的IPv6網(wǎng)絡(luò)當(dāng)中，基于網(wǎng)段的方式，進(jìn)行相應(yīng)的掃描處理。在上述工具的使用過程中，始終都需要在實(shí)際的調(diào)度策略的使用中進(jìn)行深入的優(yōu)化以及研究處理。其次，在相關(guān)專項(xiàng)檢測(cè)工具的使用過程中，還需要重點(diǎn)對(duì)IPv6地址進(jìn)行相應(yīng)的檢測(cè)分析。

（6）安全網(wǎng)絡(luò)監(jiān)測(cè)

現(xiàn)階段在使用的防病毒、惡意軟件等諸多方面的安全問題的處理中，始終需要保障IPv6進(jìn)行有效的關(guān)聯(lián)，因此就可以結(jié)合起各種風(fēng)險(xiǎn)問題，形成一個(gè)全面的威脅規(guī)則，這樣的系統(tǒng)可以很好保障網(wǎng)絡(luò)安全檢測(cè)與防護(hù)技術(shù)。例如，在防病毒的系統(tǒng)當(dāng)中，往往需要使用IPv6地址的方式，將其對(duì)使用的IP地址進(jìn)行相應(yīng)的排查，這樣就可以形成規(guī)則庫(kù)。

2.2 業(yè)務(wù)安全性的提升

在校園網(wǎng)當(dāng)中應(yīng)用了IPv6之后，使得進(jìn)行的科學(xué)合理部署方式，可以有效對(duì)用戶的業(yè)務(wù)平臺(tái)，進(jìn)行針對(duì)性的用戶訪問的支持。在進(jìn)行部署的過程中，需要對(duì)基于業(yè)務(wù)的系統(tǒng)IPv6，進(jìn)行針對(duì)性的改造以及處理，并且在業(yè)務(wù)系統(tǒng)的升級(jí)工程中，還需要全面提升安全能力的評(píng)估效果，最后則需要進(jìn)一步提升防護(hù)的整體手段。

在使用雙棧模式之后，可以很好形成針對(duì)性的業(yè)務(wù)系統(tǒng)部署模式，但是也相應(yīng)需要重新對(duì)這種模式下的網(wǎng)絡(luò)系統(tǒng)，進(jìn)行針對(duì)性的重點(diǎn)問題評(píng)估，并全面增加安全防護(hù)的處理手段。

其次，在使用了隧道模式部署的業(yè)務(wù)系統(tǒng)中，就是一種針對(duì)性隧道報(bào)文的重點(diǎn)保護(hù)，避免用戶身份被冒充。而在現(xiàn)階段進(jìn)行翻譯模式的部署過程中，其業(yè)務(wù)系統(tǒng)往往需要對(duì)翻譯設(shè)備的安全防護(hù)，進(jìn)行針對(duì)性的評(píng)估處理。而在防范系統(tǒng)拒絕了服務(wù)攻擊之后，就會(huì)導(dǎo)致翻譯設(shè)備可能出現(xiàn)宕機(jī)的問題，并對(duì)整個(gè)系統(tǒng)的業(yè)務(wù)造成直接的影響。

在現(xiàn)階段的數(shù)據(jù)行程中，由于呈現(xiàn)出多樣化的處理效果，因此就需要在進(jìn)行雙棧處理之后，需要積極對(duì)其IPv6進(jìn)行解析，以及提供良好的云防護(hù)處理。對(duì)于公網(wǎng)的用戶而言，在校園網(wǎng)的網(wǎng)站群域名的解析過程中，其DNS可以利用請(qǐng)求的方式，對(duì)其轉(zhuǎn)發(fā)到云防護(hù)節(jié)點(diǎn)中，進(jìn)行全面清洗處理，這樣就可以充分保障系統(tǒng)不會(huì)受到DDoS的攻擊，或者對(duì)其病毒的入侵造成不良的影響。在訪問數(shù)據(jù)的中心站群以及在數(shù)據(jù)流量的處理中，還需要基于IPv6進(jìn)行獨(dú)立的訪問路由部署，以此保障實(shí)際運(yùn)行的穩(wěn)定性。

2.3 管理安全

需要全面加強(qiáng)現(xiàn)階段對(duì)于網(wǎng)站的監(jiān)控力度，通過對(duì)IPv6地址進(jìn)行系統(tǒng)的安全管理工作。而在完成了IPv6的黑白名單的能力提升之后，基于黑名單的方式就可以十分有效地進(jìn)行具體的識(shí)別以及封堵處理。另外，在IPv6規(guī)模部署之后，還需要積極對(duì)安全功能進(jìn)行全面測(cè)試以及分析，并及時(shí)采集各種類型的情報(bào)信息，以此實(shí)現(xiàn)系統(tǒng)的安全管理。

綜上所述，在當(dāng)下校園網(wǎng)的建設(shè)中，采用IPv6網(wǎng)絡(luò)協(xié)議之后，雖然引入了各種先進(jìn)的安全防護(hù)處理方式，但是也需要積極應(yīng)對(duì)各種全新出現(xiàn)的安全風(fēng)險(xiǎn)問題進(jìn)行針對(duì)性的處理，以此全面提升校園網(wǎng)的整體安全性與穩(wěn)定性。

[1]高秋燕.基于高校的IPv6網(wǎng)絡(luò)安全研究與實(shí)現(xiàn)[J].信息系統(tǒng)工程，2021（02）：55-56.

[2]邢帆.高校網(wǎng)絡(luò)安全——網(wǎng)絡(luò)信息安全工作組和IPv6應(yīng)用工作組聯(lián)合技術(shù)沙龍北京理工大學(xué)站[J].中國(guó)信息化，2017（10）：19.

[3]孫雅娟，林紅.關(guān)于高校IPv6校園網(wǎng)絡(luò)中ND協(xié)議安全的研究[J].華北電力大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2011（S2）：321-324.