我想知道IPV6相关 越详细容易懂为好,好的 加分
IPv6的移动性技术
IPv6协议设计之初就充分考虑了对移动性的支持。针对移动IPv4 *** 中的三角路由问题.移动IPv6提出了相应的解决方案。
首先.从终端角度IPv6提出了IP地址绑定缓冲的概念,即IPv6协议栈在转发数据包之前需要查询IPv6数据包目的地址的绑定地址。如果查询到绑定缓冲中目的IPv6地址存在绑定的转交地址,则直接使用这个转交地址为数据包的目的地址。这样发送的数据流量就不会再经过移动节点的家乡 *** ,而直接转发到移动节点本身。
其次。MIPv6引入了探测节点移动的特殊 *** ,即某一区域的接入路由器以一定时间进行路由器接口的前缀地址通告.当移动节点发现路由器前缀通告发生变化,则表明节点已经移动到新的接人区域。与此同时根据移动节点获得的通告,节点又可以生成新的转交地址,并将其注册到家乡 *** 上。
MIPv6的数据流量可以直接发送到移动节点,而MIPv4流量必须经过家乡 *** 的转发。在物联网应用中。传感器有可能密集地部署在一个移动物体上。例如为了监控地铁的运行参数等,需要在地铁车厢内部署许多传感器.从整体上来看,地铁的移动就等同于一群传感器的移动,在移动过程中必然发生传感器的群体切换,在MIPv4的情况下,每个传感器都需要建立到家乡 *** 的隧道连接,这样对 *** 资源的消耗非常大,很容易导致 *** 资源耗尽而瘫痪。在MIPv6的 *** 中,传感器进行群切换时只需要向家乡 *** 注册。之后的通信完全由传感器和数据采集的设备之间直接进行,这样就可以使 *** 资源消耗的压力大大下降。因此。在大规模部署物联网应用,特别是移IPv6的服务质量技术
在 *** 服务质量保障方面,IPv6在其数据包结构中定义了流量类别字段和流标签字段。流量类别字段有8位,和IPv4的服务类型(ToS)字段功能相同,用于对报文的业务类别进行标识;流标签字段有20位,用于标识属于同一业务流的包。流标签和源、目的地址一起.惟一标识了一个业务流。同一个流中的所有包具有相同的流标签,以便对有同样QoS要求的流进行快速、相同的处理。
目前,IPv6的流标签定义还未完善。但从其定义的规范框架来看,IPv6流标签提出的支持服务质量保证的更低要求是标记流,即给流打标签。流标签应该由流的发起者信源节点赋予一个流,同时要求在通信的路径上的节点都能够识别该流的标签.并根据流标签来调度流的转发优先级算法。这样的定义可以使物联网节点上的特定应用有更大的调整自身数据流的自由度,节点可以只在必要的时候选择符合应用需要的服务质量等级.并为该数据流打上一致的标记。在重要数据转发完成后。即使通信没有结束节点也可以释放该流标记,这样的机制再结合动态服务质量申请和认证、计费的机制,就可以做到使 *** 按应用的需要来分配服务质量。同时。为了防止节点在释放流标签后又误用该流标签.造成计费上的问题。信源节点必须保证在120 s内不再使用释放了的流标签。
在物联网应用中普遍存在节点数量多.通信流量突发性强的特点。与IPv4相比,由于IPv6的流标签有20 bit,足够标记大量节点的数据流。同时与IPv4中通过五元组(源、目的IP地址,源、目的端口、协议号)不同,IPv6可以在一个通信过程中(五元组没有变化),只在必要的时候数据包才携带流标签,即在节点发送重要数据时,动态提高应用的服务质量等级,做到对服务质量的精细化控制。
当然IPv6的QoS特性并不完善,由于使用的流标签位于IPv6包头,容易被伪造,产生服务盗用的安全问题。因此.在IPv6中流标签的应用需要开发相应的认证加密机制。同时为了避免流标签使用过程中发生冲突,还要增加源节点的流标签使用控制的机制。
IPv6的安全性与可靠性技术
首先.在物联网的安全保障方面。由于物联网应用中节点部署的方式比较复杂.节点可能通过有线方式或无线方式连接到 *** .因此节点的安全保障的情况也比较复杂。在使用IPv4的场景中一个黑客可能通过在 *** 中扫描主机IPv4地址的方式来发现节点,并寻找相应的漏洞。而在IPv6场景中.由于同一个子网支持的节点数量极大(达到百亿亿数量级),黑客通过扫描的方式找到主机难度大大增加。在口基础协议栈的设计方面,矾6将IPsec协议嵌入到基础的协议栈中。通信的两端可以启用IPSec加密通信的信息和通信的过程。 *** 中的黑客将不能采用中间人攻击的 *** 对通信过程进行破坏或劫持。同时,黑客即使截取了节点的通信数据包,也会因为无法解码而不能窃取通信节点的信息。
同时,由于IP地址的分段设计,将用户信息与 *** 信息分离.使用户在 *** 中的实时定位很容易,这也保证了在 *** 中可以对黑客行为进行实时的监控,提升了 *** 的监控能力。
在另一个方面,物联网应用中由于成本限制,节点通常比较简单,节点的可靠性也不可能做得太高,因此,物联网的可靠性要靠节点之间的互相冗余来实现。又因为节点不可能实现较复杂的冗余算法,因此一种较理想的冗余实现方式是采用 *** 侧的任播技术来实现节点之间的冗余。采用IPv6的任播技术后.多个节点采用相同的IPv6任播地址(任播地址在IPv6中有特殊定义)。在通信过程中发往任播地址的数据包将被发往由该地址标识的“最近”的一个 *** 接口,其中 “最近”的含义指的是在路由器中该节点的路由矢量计算值最小的节点。当一个“最近”节点发生故障时. *** 侧的路由设备将会发现该节点的路由矢量不再是“最近”的.从而会将后续的通信流量转发到其他的节点。这样物联网的节点之间就自动实现了冗余保护的功能。而节点上基本不需要增加算法,只需要应答路由设备的路由查询,并返回简单信息给路由设备即可。
IPv6具有很多适合物联网大规模应用的特性,但目前也存在一些技术问题需要解决,例如,无状态地址分配中的安全性问题.移动IPv6中的绑定缓冲安全更新问题,流标签的安全防护,全球任播技术的研究等。虽然IPv6还有众多的技术细节需要完善,但从整体来看,使用IPv6不仅能够满足物联网的地址需求,同时还能满足物联网对节点移动性、节点冗余、基于流的服务质量保障的需求,很有希望成为物联网应用的基础 *** 技术。
关于IPv6与IPv4应用中的区别
IP作为互联网的重要的桥梁,是为计算机 *** 相互连接进行通信而设计的协议,正是因为有了IP协议,因特网才得以迅速发展成为世界上更大的、开放的计算机通信 *** 。很多人对IPv4与IPv6有什么区别?不是很了解,接下来详细为大家介绍IPv4与IPv6的区别是什么。
IPV4和IPV6的区别
一、扩展了路由和寻址的能力
IPv6把IP地址由32位增加到128位,从而能够支持更大的地址空间,估计在地球表面每平米有4*10^18个IPv6地址,使IP地址在可预见的将来不会用完。
IPv6地址的编码采用类似于CIDR的分层分级结构,如同 *** 号码。简化了路由,加快了路由速度。在多点传播地址中增加了一个“范围”域,从而使多点传播不仅仅局限在子网内,可以横跨不同的子网,不同的局域网。
二、报头格式的简化
IPv 4报头格式中一些冗余的域或被丢弃或被列为扩展报头,从而降低了包处理和报头带宽的开销。虽然IPv6的地址是IPv4地址的4倍。但报头只有它的2倍大。
三、对可选项更大的支持
IPv6的可选项不放入报头,而是放在一个个独立的扩展头部。如果不指定路由器不会打开处理扩展头部.这大大改变了路由性能。IPv6放宽了对可选项长度的严格要求(IPv4的可选项总长最多为40字节),并可根据需要随时引入新选项。IPV6的很多新的特点就是由选项来提供的,如对IP层安全(IPSEC)的支持,对巨报(jumbogram)的支持以及对IP层漫游(Mobile-IP)的支持等。
四、QoS的功能
因特网不仅可以提供各种信息,缩短人们的距离.还可以进行网上娱乐。网上VOD现正被商家炒得热火朝天,而大多还只是准VOD的水平,且只能在局域网上实现,因特网上的VOD都很不理想.问题在于IPv4的报头虽然有服务类型的字段,实际上现在的路由器实现中都忽略了这一字段。
在IPv6的头部,有两个相应的优先权和流标识字段,允许把数据报指定为某一信息流的组成部分,并可对这些数据报进行流量控制。如对于实时通信即使所有分组都丢失也要保持恒速,所以优先权更高,而一个新闻分组延迟几秒钟也没什么感觉,所以其优先权较低。IPv6指定这两字段是每一IPv6节点都必须实现的。
五、身份验证和保密
在IPv6中加入了关于身份验证、数据一致性和保密性的内容。
六、安全机制IPSec是必选的
IPv4的是可选的或者是需要付费支持的。
七、加强了对移动设备的支持
IPv6在设计之初有有着支持移动设备的思想,允许移动终端在切换接入点时保留相同的IP地址。
八、支持无状态自动地址配置
IPv6无需DNS服务器也可完成地址的配置,路由广播地址前缀,各主机根据自己MAC地址和收到的地址前缀生成可聚合全球单播地址。这也方便了某一区域内的主机同时更换IP地址前缀。
雷网主机加快IPv6部署,如何准确地把握安全问题呢?
2011年2月3日悄无声息的到来又逝去,这一天看似普通,但对互联网人士来说,却非比寻常,无论他们是否知晓,这一天却是一个里程碑。在那个周四,互联网数字分配机构(IANA)将最后可用的IPv4地址分配殆尽。虽然某些地区的互联网注册管理机构(RIR)还有够一两年使用的库存,但全新IPv4地址分配的时代已基本成为历史。
既然IPv4已经用尽,那么是时候认真考虑采用下一代互联网协议IPv6了。当前,每小时就会增加一百万台新设备,而IPv6具有128位的地址空间(IPv4具有32 位空间),可以适应互联网当前及未来的发展需求。实际上,与IPv4的43亿个IP地址相比,IPv6可以再增加340万亿万亿万亿地址,足以满足可预见未来的全球互联网需求。
随着DNS安全扩展协议(DNSSEC)的持续部署,IPv6将为未来互联网提供稳定而安全的基础。但是,要实现从IPv4向IPv6的成功过渡,无论是基础架构运营商、服务提供商,还是应用开发人员与用户,所有人都必须在一系列工作中团结合作,这些工作包括:
· 支持并开发IPv6能力,并建立与IPv4相当的功能
· 调试并修正那些仅使用IPv6的新软件与应用程序中的问题
· 改善与IPv4的交互工作与过渡共存问题
安全性将成为这一工作的关键。IPv6为大多数互联网参与者展示了新的疆界,它的出现也将带来一些独特的安全挑战。虽然下述内容并不完全,但它给出了八个需要注意的问题领域,业界需要在采用IPv6的过程中,不断地解决这些问题。要知道我们仍然处于采用的初级阶段,所以某些风险的解决方案只能来自于被实际应用所证明的更佳实践。
1、从IPv4向IPv6的转换过程中,事务处理(Transaction)可能更容易受到攻击。由于IPv4与IPv6并非“逐位 (bits on the wire)”地兼容,因此协议转换就成为更广泛的部署与采纳的一种途径。从IPv4到IPv6的转换中,当转换流通过 *** 时,必然产生需要协调事务处理。设想一个邮局的信件分拣员,他必须打开每个IPv4信封,再将每封信装入一个IPv6信封中,以确保它能投递到正确的地址,此时要修改文件包含的内容,从而使之与新的IPv6信封外的信息相符。每做一次这个操作,都给执行不善和执行不力者提供了一个机会,从而产生或触发一个潜在的漏洞。另外,这种 *** 引入了必须维护事务处理状态的中间环节(middle boxes),使 *** 复杂化,从而危及了端到端的原则。通常情况下,安全人员应注意所有转换与事务处理机制(包括隧道)的安全问题,只有经过了彻底评估以后,才能明确地启用这些机制。
2、大 *** 段既有优点也有缺点。IPv6的 *** 段规模要远远大于我们现有的 *** 段。现在,为一个IPv6子 *** 推荐使用的前缀长度为/64 (264),它可以在一个 *** 段中容纳约18 x 1018个主机!虽然这能够实现几乎无限制的LAN长度,但这一规模也带来了挑战。例如,扫描一个IPv6/64块 *** 的漏洞要花数年时间,而扫描一个/24的IPv4子网(28)只需花几秒钟。既然不可能做完整的扫描,那么比较好的办法或许是只使用地址的前/118(与一个/22的IPv4中主机数量相同),缩小要扫描IP的区间范围,或者明确地分配掉所有地址,并且暗中拒绝余下的所有地址。这样便可以做到细致的IP管理,以及较今天而言更为严格的监控。另外还可以预测到,攻击者可能将采用被动式域名系统(DNS)分析以及其它侦测技术来代替传统的扫描 *** 。
3、邻居发现及请求都可能使 *** 出现问题。IPv6中的邻居发现(Neighbor Discovery)使用了五种不同类型的第6版互联网控制信息协议(ICMPv6),用于多种目的,如在链接中包含可确定邻居的链路层地址,清空已失效的缓存值,以及发现那些想要自己转发分组数据包的邻居。虽然邻居发现提供了很多有用的功能,包括重复地址检测(DAD)以及对不可及邻居的检测(NUD),但它也给攻击者提供了很多机会。IPv6中的邻居发现攻击将很快取代IPv4中的同类攻击,如ARP Spoofing攻击。一般而言,除非明确地提供并实现了链路层访问控制以及安全机制,否则保持所有端口的关闭是一个好主意,而且要在不使用IPv6时,将其完全禁用。
4、阻塞大型扩展头、防火墙与安全网关,可能成为DDoS攻击者的目标。在IPv6中,IP选项功能已被从主头中移出,而通过一组附加头来实现。这些附加头叫做扩展头,其定义了一组目标选项、逐跳跃(hop-by-hop)选项、身份认证,以及一个其它选项的数组。这些扩展头跟随着固定为40字节的IPv6主头,它们相互链接,构成一个IPv6分组数据包(固定头 + 扩展头 + 有效负载)。有大量扩展头的IPv6流会淹没防火墙和安全网关,甚至会致使路由器转发性能下降,因此成为了DDoS和其它攻击者的一种潜在动力。在路由器上禁用“IPv6源路由(IPv6 source routing)”可能是防止DDoS威胁的必要方式,并且明确地写明支持哪种扩展头,以及检查 *** 设备的正确实现,这些都很重要。一般而言,IPv6增加了很多需要过滤或区域性传播的部件,包括一些扩展头、组播地址,以及增加了互联网控制信息协议(ICMP)的使用。
5、6to4和6RD *** 可能会导致攻击与滥用行为。6to4及其ISP快速部署的6RD均无需配置专用的隧道,就能使IPv6数据包跳出IPv4的空间。但部署IPv6 *** 服务器可能会使 *** 运营商进入一个麻烦的世界,包括发现式攻击、欺骗,以及反射式攻击,而 *** 运营商自身可能被利用,成为一个攻击和滥用的“源头”。
6、对IPv6服务的支持可能暴露现有的IPv4应用程序或系统。有一个局限便是,现有的安全补丁可能仅适用于IPv4支持,而大多数核心程序在做DNS查表等动作时,偏向于优先采用IPv6接口(而不是IPv4),以促进IPv6的更快部署。实际上,IPv6与IPv4之间的这种互动可能使每次DNS查表的流量翻番(同时请求AAAA和A记录,或更糟糕的情况,即每次都要通过IPv4和IPv6)。为了优化用户体验,可能产生出大量非必需的DNS流量。OS与内容供应商在不断采用措施,以减轻或优化这个性能(如:AAAA白名单),但它也增加了系统负荷和状态。另外应注意到,使用新的IPv6栈后,肯定会逐步显现新的漏洞。一个过渡周期内长期存在两个栈,以及路由器、最终系统与 *** 服务(如DNS)之间的相互依存,显然会为犯罪分子提供充分施展的空间。
7、很多用户可能被隐藏在固定地址集后面。被大型 *** 地址转换协议(NAT-PT)设备所隐藏的用户可能会废除一些有用功能(如地理定位)或工具,使恶意 *** 行为有了空间,并且让基于信誉的号码与命名空间的安全控制问题更为严重。
8、与其它 *** 做隧道操作时,即使IPSec也可能带来问题。IP安全机制(IPSec)能够对发送者做出认证,提供完全的保护,并且可选采用加密的IP分组数据包以提供传输数据的可信性。IPSec在IPv4中是一个可选功能,而在IPv6中是强制使用的。在隧道模式下(基本上是建立一个 *** 间、主机— *** 和主机间通信的VPN),整个数据包被封装在一个新的IP包内,并给它一个新的IP头。但当与某个超出原发方控制的 *** 建立VPN连接时,则可能产生安全性暴露问题,或被用于漏出数据等。由于IPSec要用附加协议(如互联网密钥交换–IKE)去处理对安全保护以及相关安全密钥的协商与管理,从而增加了复杂性,因此IPv6初期对IPSec支持的广泛程度也许并不会超过IPv4。
在IPv6开始广泛部署且IPv4设备开始减少以前,还会有一段时间。到那时,我们都将致力于可实现互联网第40亿台设备的协议。
2月3日这个里程碑的日子已成历史,我们将别无选择地去发展和传播一些更佳实践,从而使下一代IP地址更加稳定、可靠和安全,而它的开始要依赖 *** 与安全人员的认知与知识。
ipv6协议是否对 *** 安全进行了考虑,如果有,它是如何实现 *** 安全的
随着企业 *** 的普及和 *** 开放性,共享性,互连程度的扩大, *** 的信息安全问题也越来越引起人们的重视。一个安全的计算机 *** 应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机 *** 不仅要保护计算机 *** 设备安全和计算机 *** 系统安全,还要保护数据安全。 *** 安全风险分析 计算机系统本身的脆弱性和通信设施的脆弱性共同构成了计算机 *** 的潜在威胁。信息 *** 化使信息公开化、信息利用自由化,其结果是信息资源的共享和互动,任何人都可以在网上发布信息和获取信息。 这样, *** 信息安全问题就成为危害 *** 发展的核心问题,与外界的因特网连接使信息受侵害的问题尤其严重。目前企业 *** 信息的不安全因素来自病毒、黑客、木马、垃圾邮件等几个方面。 计算机病毒是一种危害计算机系统和 *** 安全的破坏性程序。它可以直接破坏计算机数据信息,也可以大量占用磁盘空间、抢占系统资源从而干扰了系统的正常运行。 随着Internet技术的发展、企业 *** 环境的日趋成熟和企业 *** 应用的增多,病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业 *** 环境为病毒传播、生存提供了环境。 黑客攻击已经成为近年来经常发生的事情, *** 中服务器被攻击的事件层出不穷。黑客利用计算机系统、 *** 协议及数据库等方面的漏洞和缺陷,采用破解口令(password cracking)、天窗(trapdoor)、后门(backdoor)、特洛伊木马(Trojan horse)等手段侵入计算机系统,进行信息破坏或占用系统资源,使得用户无法使用自己的机器。 一般大型企业的 *** 都拥有Internet连接,同时对外提供的WWW和EMAIL等服务。因此企业内部 *** 通过Internet连接外部进行大量的信息交换,而其中大约80%信息是电子邮件,邮件中又有一半以上的邮件是垃圾邮件,这一比例还在逐年上升。 企业局域网内部的信息安全更是不容忽视的。 *** 内部各节点之间通过 *** 共享 *** 资源,就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下,因此造成信息泄漏;甚至存在内部人员编写程序通过 *** 进行传播,或者利用黑客程序入侵他人主机的现象。因此, *** 安全不仅要防范外部网,同时更防范内部网。 *** 安全措施 由此可见,有众多的 *** 安全风险需要考虑,因此,企业必须采取统一的安全策略来保证 *** 的安全性。一个完整的安全技术和产品包括:身份认证、访问控制、流量监测、 *** 加密技术、防火墙、入侵检测、防病毒、漏洞扫描等;而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。 1.外部入侵的防范措施 (1) *** 加密(Ipsec) IP层是TCP/IP *** 中最关键的一层,IP作为 *** 层协议,其安全机制可对其上层的各种应用服务提供透明的覆盖式安全保护。因此,IP安全是整个TCP/IP安全的基础,是 *** 安全的核心。IPSec是目前唯一一种能为任何形式的Internet通信提供安全保障的协议。IPSec允许提供逐个数据流或者逐个连接的安全,所以能实现非常细致的安全控制。对于用户来说,便可以对于不同的需要定义不同级别地安全保护(即不同保护强度的IPSec通道)。IPSec为 *** 数据传输提供了数据机密性、数据完整性、数据来源认证、抗重播等安全服务,使得数据在通过公共 *** 传输时,不用担心被监视、篡改和伪造。 IPSec是通过使用各种加密算法、验证算法、封装协议和一些特殊的安全保护机制来实现这些目的,而这些算法及其参数是保存在进行IPSec通信两端的SA(Security Association,安全联盟),当两端的SA中的设置匹配时,两端就可以进行IPSec通信了。 在虚拟专用网(VPN)中主要采用了IPSec技术。 (2)防火墙 防火墙是一种 *** 安全保障手段,是 *** 通信时执行的一种访问控制尺度,其主要目标就是通过控制进、出一个 *** 的权限,在内部和外部两个 *** 之间建立一个安全控制点,对进、出内部 *** 的服务和访问进行控制和审计,防止外部 *** 用户以非法手段通过外部 *** 进入内部 *** ,访问、干扰和破坏内部 *** 资源。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部 *** 和Internet之间的任何活动,保证了内部 *** 的安全。 防火墙有软、硬件之分,实现防火墙功能的软件,称为软件防火墙。软件防火墙运行于特定的计算机上,它需要计算机操作系统的支持。基于专用的硬件平台的防火墙系统,称为硬件防火墙。它们也是基于PC架构,运行一些经过裁剪和简化的操作系统,承载防火墙软件。 (3)入侵检测 部署入侵检测产品,并与防火墙联动,以监视局域网外部绕过或透过防火墙的攻击,并及时触发联动的防火墙及时关闭该连接;同时监视主服务器网段的异常行为,以防止来自局域网内部的攻击或无意的误用及滥用行为。入侵检测是防火墙的合理补充,帮助系统对付 *** 攻击,扩展了系统管理员的安全管理能力。 2.内部非法活动的防范措施 (1)身份认证 *** 安全身份认证是指登录计算机 *** 时系统对用户身份的确认技术。是 *** 安全的之一道防线,也是最重要的一道防线。用户在访问安全系统之前,首先经过身份认证系统识别身份,然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。授权数据库由安全管理员按照需要进行配置。 审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的用户的身份。身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统,因此身份认证实在是 *** 安全的关键。 (2)访问控制 访问控制决定了用户可以访问的 *** 范围、使用的协议、端口;能访问系统的何种资源以及如何使用这些资源。 在路由器上可以建立访问控制列表,它是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。 建立访问控制列表后,可以限制 *** 流量,提高 *** 性能,对通信流量起到控制的手段,这也是对 *** 访问的基本安全手段。由于访问控制列表ACL(Access Control List)的表项可以灵活地增加,所以可以把ACL当作一种 *** 控制的有力工具,用来过滤流入和流出路由器接口的数据包。 在应用系统中,访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据,根据授予的权限限制其对资源的利用范围和程度。 (3)流量监测 目前有很多因素造成 *** 的流量异常,如拒绝服务攻击(DoS)、 *** 蠕虫病毒的传播、一些 *** 扫描工具产生的大量TCP连接请求等,很容易使 *** 设备瘫痪。这些 *** 攻击,都是利用系统服务的漏洞或利用 *** 资源的有限性,在短时间内发动大规模 *** 攻击,消耗特定资源,造成 *** 或计算机系统瘫痪。因此监控 *** 的异常流量非常重要。 流量监测技术主要有基于SNMP的流量监测和基于Netflow的流量监测。基于SNMP的流量信息采集,是通过提取 *** 设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。 基于SNMP收集的 *** 流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。基于Netflow流量信息采集是基于 *** 设备提供的Netflow机制实现的 *** 流量信息采集,在此基础上实现的流量信息采集效率和效果均能够满足 *** 流量异常监测的需求。 基于以上的流量检测技术,目前有很多流量监控管理软件,此类软件是判断异常流量流向的有效工具,通过流量大小变化的监控,可以帮助网管人员发现异常流量,特别是大流量异常流量的流向,从而进一步查找异常流量的源、目的地址。 处理异常流量最直接的解决办法是切断异常流量源设备的物理连接,也可以采用访问控制列表进行包过滤或在路由器上进行流量限定的 *** 控制异常流量。 (4)漏洞扫描 对一个 *** 系统而言,存在不安全隐患,将是黑客攻击得手的关键因素。就目前的 *** 系统来说,在硬件、软件、协议的具体实现或系统安全策略方面都可能存在一定的安全缺陷即安全漏洞。及时检测出 *** 中每个系统的安全漏洞是至关重要的。 安全扫描是增强系统安全性的重要措施之一,它能够有效地预先评估和分析系统中的安全问题。漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序,按功能可分为:操作系统漏洞扫描、 *** 漏洞扫描和数据库漏洞扫描。 *** 漏洞扫描系统,是指通过 *** 远程检测目标 *** 和主机系统漏洞的程序,它对 *** 系统和设备进行安全漏洞检测和分析,从而发现可能被入侵者非法利用的漏洞。 定期对 *** 系统进行漏洞扫描,可以主动发现安全问题并在之一时间完成有效防护,让攻击者无隙可钻。 (5)防病毒 企业防病毒系统应该具有系统性与主动性的特点,能够实现全方位多级防护。 考虑到病毒在 *** 中存储、传播、感染的方式各异且途径多种多样,相应地在构建 *** 防病毒系统时,应利用全方位的企业防毒产品,实施集中控制、以防为主、防杀结合的策略。具体而言,就是针对 *** 中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使 *** 没有薄弱环节成为病毒入侵的缺口。 实例分析 大庆石化局域网是企业 *** ,覆盖大庆石化机关、各生产厂和其他的二级单位, *** 上运行着各种信息管理系统,保存着大量的重要数据。为了保证 *** 的安全,针对计算机 *** 本身可能存在的安全问题,在 *** 安全管理上我们采取了以下技术措施: 1.利用PPPOE拨号上网的方式登录局域网 我们对 *** 用户实施了身份认证技术管理。用户采用 PPPOE拨号方式上局域网,即用户在 *** 物理线路连通的情况下,需要通过拨号获得IP地址才能上局域网。我们选用华为ISN8850智能IP业务交换机作为宽带接入服务器(BAS),RADIUS服务器作用户认证系统,每个用户都以实名注册,这样我们就可以管理用户的网上行为,实现了对以太网接入用户的管理。 2.设置访问控制列表 在我们的 *** 中有几十台路由交换机,在交换机上我们配置了访问控制列表,根据信息流的源和目的 IP 地址或网段,使用允许或拒绝列表,更准确地控制流量方向,并确保 IP *** 免遭 *** 侵入。 3.划分虚拟子网 在局域网中,我们把不同的单位划分成不同的虚拟子网(VLAN)。对于 *** 安全要求特别高的应用,如医疗保险和财务等,划分独立的虚拟子网,并使其与局域网隔离,限制其他VLAN成员的访问,确保了信息的保密安全。 4.在 *** 出口设置防火墙 在局域网的出口,我们设置了防火墙设备,并对防火墙制定安全策略,对一些不安全的端口和协议进行限制,使所有的服务器、工作站及 *** 设备都在防火墙的保护之下,同时配置一台日志服务器记录、保存防火墙日志,详细记录了进、出 *** 的活动。 5.部署Symantec防病毒系统 我们在大庆石化局域网内部署了Symantec防病毒系统。Symantec系统具有跨平台的技术及强大功能,系统中心是中央管理控制台。通过该管理控制台集中管理运行Symantec AntiVirus 企业版的服务器和客户端;可以启动和调度扫描,以及设置实时防护,从而建立并实施病毒防护策略,管理病毒定义文件的更新,控制活动病毒,管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等功能。 6.利用高效的 *** 管理软件管理全网 大庆石化局域网的 *** 环境比较复杂,含有多种cisco交换设备、华为交换设备、路由设备以及其他一些接入设备,为了能够有效地 *** ,我们采用了 *** _NM *** 资源管理系统。 该系统基于SNMP管理协议,可以实现跨厂商、跨平台的管理。系统采用物理拓扑的 *** 来自动生成 *** 的拓扑图,能够准确和直观地反映 *** 的实际连接情况,包括设备间的冗余连接、备份连接、均衡负载连接等,对拓扑结构进行层次化管理。 通过 *** 软件的IP地址定位功能可以定位IP地址所在交换机的端口,有效解决了IP地址盗用、查找病毒主机 *** 黑客等问题。 通过 *** 软件还可实现对 *** 故障的监视、流量检测和管理,使网管人员能够对故障预警,以便及时采取措施,保证了整个 *** 能够坚持长时间的安全无故障运行。 7.建立了VPN系统 虚拟专用网是对企业内部网的扩展。它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 为了满足企业用户远程办公需求,同时为了满足 *** 安全的要求,我们在石化局域网中建立了VPN系统。VPN的核心设备为Cisco的3825路由器,远端子公司采用Cisco的2621路由器,动态接入设备采用Cisco的1700路由器。 8.启动应用服务器的审计功能 在局域网的各应用中我们都启用了审计功能,对用户的操作进行审核和记录,保证了系统的安全。 大庆石化局域网结构简图 *** 信息系统安全问题的解决依赖于技术和管理两方面,在采取技术措施保障 *** 安全的同时,我们还建立健全 *** 信息系统安全管理体系,将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 通过以上管理机制和技术措施的实施,提高了 *** 安全性,降低了 *** 安全事故的风险,保证了 *** 长期平稳的运行。
0条大神的评论