2011年2月10日,全球互联网IP地址相关管理组织发出正式通告,现有的互联网IP地址已于当天分配完毕。中国互联网络信息中心(CNNIC)方面也确认,IP地址总库已于过年期间正式枯竭。

IPV6时代到来

6月8日世界IPv6日这天,400多家运营商、企业和机构参与了IPv6试运行测试,未发现任何重大事故。之后,Google、Facebook、Yahoo等互联网巨头宣布将在他们自己的主要网站上永久支持IPv6访问。

国内IPV6的发展业已取得长足进步,各大运营商都在积极备战,纷纷推出商用IPV6网络。下一代互联网络已经成为中国信息化发展的战略性任务。

IPV6时代真的要来了!!!!!

IPV6带来的变化

IPv6是IETF设计的用来替代现行的IPv4协议的下一代网络标准,IPv6是为了解决IPv4所存在的一些问题和不足而提出的,同时它还在许多方面提出了改进。

·地址容量大大扩展,由原来的32位扩充到128位,彻底解决IPv4地址不足的问题;

·报头格式大大简化,从而有效减少路由器或交换机对报头的处理开销,这对设计硬件报头处理的路由器或交换机十分有利;

·服务质量(QoS)提高,流标签的使用让我们可以为数据包所属类型提供个性化的网络服务,并有效保障相关业务的服务质量;

·认证与私密性,IPv6把IPSec作为必备协议,保证了网络层端到端通信的完整性和机密性;

·地址的结构层次更加优化,从而减小路由表的大小,并且可以通过地区本地地址和选路控制来定义某个组织的内部网络。

·更容易配置和部署,只要机器一连接上网络便可自动设定地址。它有两个优点。一是最终用户用不着花精力进行地址设定,二是可以大大减轻网络管理者的负担。

IPV6的安全解决方案

为了解决IPV4在数据安全上面的不足,IPV6协议将IPSec集成到协议内部,从此IPSec将不再单独存在,而是作为IPv6协议固有的一部分贯穿于IPV6的各个领域。

IPsec使用两种安全协议来加强IP协议的安全性: IP认证头(Authentication Header,AH)协议和封装安全负载(Encapsulating Security Payload,ESP)协议,完全实现了数据传输过程中的完整性、保密性、无可抵赖性。为了实现AH和ESP的功能,还要有相关的密钥管理协议实现密钥的预共享。

借助集成的IPSEC协议的安全特性,IPV6协议本身可以实现IPV4+IPSEC数据传输安全解决方案的所有特性。同时由于IPSEC协议本身仍然只是专注于网络层安全,而忽略应用层安全和服务可用性,所以IPV6安全方案也延续了IPV4+IPCEC方案在与应用紧密结合方面的弱点。

IPV6 vs IPV4+IPSEC vs SSL

在当前网络中,主要存在两种数据传输安全解决方案,IPSEC VPN和SSL VPN。由于SSL VPN在应用相关、细粒度授权以及部署便捷等方面的优势特点,越来越成为用户安全接入领域的首选方案。

在下一代IPV6网络中,基于集成的IPSEC协议,在移动安全接入方面彻底摆脱了原有的客户端方式,提高了易用性和简便性,但是由于协议本身工作在网络层面,无法和应用紧密结合,更不用说基于应用的访问控制、多重认证方式、细粒度授权、应用负载等功能特性。所以仍然无法替代SSL VPN在用户业务网络中的重要作用。

IPV6时代的SSL VPN

在IPV6网络中,各种产品都需要做出调整以适应变化,SSL VPN 系统也同样面临着挑战,除了保持原有接入、认证、授权、访问控制等功能外,还需要全面适应IPV6网络带来的各种新变化:

1、IPV6终端接入

IPV6网络发展,终端的IPV6支持首当其冲,而SSL VPN系统作为实现终端安全接入的首选方案,对于支持IPV6协议的终端要求能够实现轻松接入。

2、IPV6业务发布

在IPV6网络中,服务应用全部工作在IPV6协议之上,SSL VPN系统中基于应用的业务发布、细粒度授权和访问控制等功能,都和这些服务应用息息相关,所以要求SSL VPN系统能够发布基于IPV6协议的服务应用。

3、双栈工作

IPV4网络向IPV6网络迁移的过程不会是一蹴而就的,会有很长一段时间是IPV4和IPV6并存的阶段,两套协议将同时使用,目前解决该问题的最好方法就是双栈。所谓双栈(Dual IP Stack) ,就是在一个系统(如一台主机或一台路由器) 中同时使用IPv6/ IPv4 两个可以并行工作的协议栈。在双栈的工作环境汇中,就要求SSL VPN设备支持双栈,即可以同时接入分别工作在V6和V4协议栈的终端,也可以同时发布基于V6和V4的业务应用。

4、协议转换

在IPV6和IPV4并存的网络中,网络设备具备除了双栈机制外,还要求可以实现IPV4和V6之间的协议装换。作为接入网关,具备IPV6功能的SSL VPN设备要求能够平滑实现不同协议栈的终端和应用服务之间的灵活访问。

网神新一代SSL VPN安全接入网关全面支持IPV6

网神新一代SecSSL 3600网关是网神SSL VPN核心研发团队在近10年的SSL VPN研发经验和对SSL VPN具有深入的研究的基础上,研发出的一款面向企业、电信级用户网络核心应用的产品设备。

网神SSL VPN产品全面支持IPV6协议:

·产品自身支持基于IPV6的网络配置和管理,可以无缝的部署在IPV6网络中;

·产品支持IPV4和IPV6客户端的代理和NC模式实现网络安全接入,支持双栈工作和IPV4 和V6之间的协议转换;

·产品可以同时发布工作在IPV6和IPV4协议之上的应用服务;

·产品可以与工作在IPV6协议上的认证服务器和日志服务器配合工作。

基于以上功能,网神SSL VPN系统给用户提供了一套可以完美工作在IPV6时代的安全接入解决方案。

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。