電信IPv6網絡安全保障體系的構建探討

周智賢

（江西省郵電規劃設計院有限公司，南昌 330000）

互聯網的普及過程，民眾最關心的就是網絡地址數量和網速，其次就是網絡的安全性。現如今，網絡的研究和建設已經基于IPv6進行開展，IPv6的網絡安全保障體系也應當與之配套構建，將網絡地址構建與網絡安全構建進行同步，提升網絡使用的整體安全性同時也方便網絡資源的合理分配。正因為，IPv6的地址數量的增加，網絡速度的加快，規模不斷擴大，IPv6網絡將會遇到前所未有的諸多安全風險。電信IPv6應當制定切實有效的網絡安全檢測方法，構建合理的網絡安全保障體系。

1 電信IPv6網絡存在的安全風險

（1）IPv6的網絡過渡技術安全問題。我國網絡處于IPv4時間較長，IPv6網絡是為了滿足網民地質資源需求出現的新事物，由IPv4網絡向IPv6網絡的過渡是一個漫長的過程，不是一朝一夕就能夠促成的。在這個IPv4網絡和IPv6網絡共同存在的時間段，為了達到兩者之間能夠互通的目的，必須采取多種措施。首先，IPV6并不能向下兼容，要同時使用IPv4和IPv6必須實行雙線協議，在同一個網絡節點建設支持IPv4和IPv6兩種協議線，整個網絡的路由器和安全分析的軟硬件都需要進行升級，且電腦設備為了兼容IPv6，防火墻等多種安全監測軟件都需要隨之升級。在整個升級過程當中，很容易產生安全隱患，出現安全漏洞。利用隧道技術將網絡分組封裝的過程中也會受到拒絕服務攻擊、中間人攻擊等問題。在網絡過度過程中的安全問題不可避免。

（2）IPv6網絡存在安全問題。網絡安全問題不僅僅只存在于IPv4向IPv6的過渡過程當中，在IPv6網絡使用過程中依舊存在著諸多問題，在IPv4網絡環境下的很多安全問題在IPv6網絡中并沒有得到有效解決，多數網絡安全問題不可避免，且會因為網絡地址的擴充，老問題會更加嚴重，新問題也會隨之不斷出現。首先，網絡異常流量攻擊問題依舊存在，甚至有過之無不及。且在IPv6協議本身機制也存在著諸多缺陷，也會引起新的安全攻擊，例如ND協議缺陷引起的重復地址檢測攻擊等。另一方面，針對DNS的攻擊仍然存在，而且在IPv6網絡中提供域名服務的DNS更容易成為黑客攻擊的目標。且IPv6的協議僅會影響網絡層面的安全，對于物理層、數據鏈路層、傳輸層、應用層等并無影響，這些其他層面的安全風險在IPv6中仍將無法避免。

2 電信IPv6網絡安全保障體系的構建

（1）針對過渡期問題制定措施。IPv4與IPv6在網絡安全構架上沒有本質上的差別，因此，可以根據原有的IPv4存在的網絡安全問題進行網絡安全環境的改善，提前制定相關措施，加強在IPv4向IPv6過渡時期的安全問題防范。首先，可以加強支撐系統的安全，利用已有的技術保障DNS系統的安全。由于現在的網絡是在IPv4向IPv6過渡的階段，網絡往往是采用同一套DNS體系，因此，原有的IPv4網絡環境下的安全防護措施和技術仍然可以沿用下來，只需要調整原有技術對IPv6的支持即可。其次，可以統一規劃，統一部署網絡安全運營管理的平臺，將現有平臺調整至對IPv6協議提供支持，通過將IPv6網元和安全設備，安全檢測技術統一納入管控范圍，以保障在IPv4向IPv6網絡過渡期間的網絡全方位安全管理監控。這些方法都能夠減少在過渡時期內所產生的安全問題。

（2）針對IPv6的遇見問題制定措施。很多IPv4中存在的安全問題在IPv6網絡中依舊存在，那么，我們就可以在原有IPv4網絡環境下存在問題的基礎上，制定相應的安全防范措施，而且還能根據IPv6的網絡特性進一步加強IPv6特定的網絡安全問題的監管防范，以及制定有效措施。首先，可以提升承載網安全性，提升網絡可用性的信賴程度，加強路由安全，防止流量的異常流失。配置路由協議認證，采用可靠的路由認證機制，其中，由于目前的OSPFv3協議不提供認證功能，而是使用IPv6的安全機制來保證自身報文的合法性。因此，可以配置IPSec，以保障那些采用了OSPFv3協議的設備。同時，合理配置訪問控制策略，以防止非法流量對路由器進行拒絕服務攻擊。另外，應當針對網絡出現的異常流量問題進行有效監測，利用相關技術防止網絡異常流量的攻擊，同時也避免網絡流量的無端流失。另一方面，可以基于目前對IPv6的安全可靠性問題的研究，發掘新技術。例如：真實源地址技術、標簽網技術等。在IPv6網絡環境下自配屬性的引入也可以為網絡終端的安全問題進行檢測。

3 結束語

隨著IPv6網絡的逐漸深入普及，網絡安全問題也會隨之出現，電信運營商應當針對現有問題制訂相關措施，對預見的網絡安全問題予以重視，既要減少在IPv4向IPv6網絡過渡時期的問題，又要防患于未然，提前展開IPv6網絡安全問題的研究，針對未來網絡安全風險進行分析，預備可靠的解決方案。只有構建完善的網絡安全保障體系，網民使用互聯網才能安心、放心。