跳过导航链接 | |
退出打印视图 | |
配置和管理 Oracle Solaris 11.1 网络 Oracle Solaris 11.1 Information Library (简体中文) |
在现有网络中引入 IPv6 时,必须注意不要危及站点的安全性。在分阶段实现 IPv6 时,需要注意以下安全问题:
对于 IPv6 包和 IPv4 包,需要相同的过滤量。
通常,IPv6 包通过防火墙进行隧道传送。因此,您应当实现下列任一方案:
让防火墙在隧道内部执行内容检查。
在隧道的另一个端点设置一个具有相似规则的 IPv6 防火墙。
在 IPv4 隧道上存在某些使用 IPv6 over UDP 的转换机制。这些机制能够绕过防火墙,因此被认为存在危险。
IPv6 节点可从企业网络外部进行全局访问。如果安全策略禁止公共访问,则必须为防火墙制定更严格的规则。例如,考虑配置有状态的防火墙。
本书包括可用在 IPv6 实现中的安全功能。
IP 安全体系结构 (IPsec) 功能允许您为 IPv6 包提供加密保护。有关更多信息,请参阅《在 Oracle Solaris 11.1 中保护网络安全》中的第 6 章 "IP 安全体系结构(概述)"。
Internet 密钥交换 (Internet Key Exchange, IKE) 功能允许您针对 IPv6 包使用公钥验证。有关更多信息,请参阅《在 Oracle Solaris 11.1 中保护网络安全》中的第 9 章 "Internet 密钥交换(概述)"。