在现有网络中引入 IPv6 时,必须注意不要危及站点的安全性。
在分阶段实现 IPv6 时,需要注意以下安全问题:
对于 IPv6 包和 IPv4 包,需要相同的过滤量。
通常,IPv6 包通过防火墙进行隧道传送。
因此,您应当实现下列任一方案:
让防火墙在隧道内部执行内容检查。
在隧道的另一个端点设置一个具有相似规则的 IPv6 防火墙。
在 IPv4 隧道上存在某些使用基于用户数据报协议 (User Datagram Protocol, UDP) 的 IPv6 的转换机制。这些机制能够绕过防火墙,因此被认为可能存在问题。
IPv6 节点可从企业网络外部进行全局访问。如果安全策略禁止公共访问,则必须为防火墙制定更严格的规则。例如,考虑配置有状态的防火墙。
本书包括有关以下安全功能的信息,这些功能可在 IPv6 实现中使用:
IP 安全体系结构 (IPsec) 功能允许您为 IPv6 包提供加密保护。有关更多信息,请参阅在 Oracle Solaris 11.2 中确保网络安全 中的第 6 章 关于 IP 安全体系结构。
Internet 密钥交换 (Internet Key Exchange, IKE) 功能自动进行 IPsec 的密钥管理。有关更多信息,请参阅在 Oracle Solaris 11.2 中确保网络安全 中的第 8 章 关于 Internet 密钥交换。