技術：談IPv6網絡的協議安全和安全機制

　　與IPv4相比，IPV6具有許多優勢。首先，IPV6解決了IP地址數量短缺的問題；其次，IPV6對IPv4協議中諸多不完善之處進行了較大的改進。其中最為顯著的就是將IPSec集成到協議內部，從此IPSec將不再單獨存在，而是作為IPV6協議固有的一部分貫穿于IPV6的各個領域。當然，IPSec的大規模使用將不可避免地對網絡設備的轉發性能產生影響，這就需要更高的硬件性能保障。本文主要介紹IPV6網絡的安全性、安全機制。

1. 協議安全

　　在協議安全層面上，IPV6全面支持認證頭（AH）認證和封裝安全有效負荷（ESP）信息安全封裝擴展頭。AH認證支持hmac_md5_96、hmac_sha_1_96認證加密算法，ESP封裝支持DES_CBC、3DES_CBC以及Null等三種算法。

2. 網絡安全

　?。?）　端到端的安全保證。在兩端主機上對報文進行IPSec封裝，中間路由器實現對有IPSec擴展頭的IPV6報文進行透傳，從而實現端到端的安全。

　?。?）　對內部網絡的保密。當內部主機與因特網上其他主機進行通信時，為了保證內部網絡的安全，可以通過配置的IPSec網關實現。因為IPSec作為IPV6的擴展報頭不能被中間路由器而只能被目的節點解析處理，因此IPSec網關可以通過IPSec隧道的方式實現，也可以通過IPV6擴展頭中提供的路由頭和逐跳選項頭結合應用層網關技術來實現。后者的實現方式更加靈活，有利于提供完善的內部網絡安全，但是比較復雜。

　　（3）　通過安全隧道構建安全的VPN。此處的VPN是通過IPV6的IPSec隧道實現的。在路由器之間建立IPSec的安全隧道，構成安全的VPN是最常用的安全網絡組建方式。IPSec網關的路由器實際上就是IPSec隧道的終點和起點，為了滿足轉發性能的要求，該路由器需要專用的加密板卡。

　?。?）　通過隧道嵌套實現網絡安全。通過隧道嵌套的方式可以獲得多重的安全保護。當配置了IPSec的主機通過安全隧道接入到配置了IPSee網關的路由器，并且該路由器作為外部隧道的終結點將外部隧道封裝剝除時，嵌套的內部安全隧道就構成了對內部網絡的安全隔離。

3. 其他安全保障

　　IPSec為網絡數據和信息內容的有效性、一致性以及完整性提供了保證，但是數據網絡的安全威脅是多層面的，它們分布在物理層、數據鏈路層、網絡層、傳輸層和應用層等各個部分。

　　對于物理層的安全隱患，可以通過配置冗余設備、冗余線路、安全供電、保障電磁兼容環境以及加強安全管理來防護。對于物理層以上層面的安全隱患，可以采用以下防護手段：通過諸如AAA、TACACS＋、RADIUS等安全訪問控制協議控制用戶對網絡的訪問權限來防止針對應用層的攻擊；通過MAC地址和IP地址綁定、限制每端口的MAC地址使用數量、設立每端口廣播包流量門限、使用基于端口和VLAN的ACL、建立安全用戶隧道等來防范針對二層網絡的攻擊；通過進行路由過濾、對路由信息的加密和認證、定向組播控制、提高路由收斂速度、減輕路由振蕩的影響等措施來加強三層網絡的安全性。路由器和交換機對IPSec的完善支持保證了網絡數據和信息內容的有效性、一致性以及完整性，并且為網絡安全提供了諸多解決辦法。