- 工信部備案號 滇ICP備05000110號-1
- 滇公安備案 滇53010302000111
- 增值電信業(yè)務(wù)經(jīng)營許可證 B1.B2-20181647、滇B1.B2-20190004
- 安全聯(lián)盟認證網(wǎng)站身份V標記
- 域名注冊服務(wù)機構(gòu)許可:滇D3-20230001
- 代理域名注冊服務(wù)機構(gòu):新網(wǎng)數(shù)碼
由于北美市場的可用IPv4地址已經(jīng)在2015年9月耗盡,企業(yè)越來越迫切需要支持IPv6連接,至少在連接互聯(lián)網(wǎng)的服務(wù)上要支持。
美國互聯(lián)網(wǎng)網(wǎng)絡(luò)號碼注冊中心主席及CEO John Curran從1993年開始參與新版互聯(lián)網(wǎng)協(xié)議IPv6的設(shè)計與部署工作。
Curran反對Paul Vixie的觀點“現(xiàn)在安裝IPv6沒有任何好處”。根據(jù)Curran的觀點,雖然IPv6并不一定會直接帶來安全好處,但是IPv6連接能夠解決它設(shè)計之初要解決的問題:IPv4地址空間業(yè)已耗盡。
1、你在過去曾經(jīng)說過“IPv6比IPv4更安全”,這就像是在說“小汽車比卡車安全,又或者相反?!蹦敲碔Pv6連接到底對于企業(yè)安全性有什么重要影響呢?
John Curran:現(xiàn)在要清楚最重要的一個問題是,IPv6確實可能比IPv4更安全,但是注意只是可能。協(xié)議只是工具,因此結(jié)果如何取決于使用工具的方法。
在這個問題上,IPv6確實有一定的優(yōu)勢,IPv6標準已經(jīng)在IPv6配置上規(guī)定了加密和驗證頭信息。因此,只要沒有專門去改寫它,而且供應(yīng)商沒有添加一個改寫的配置,IPsec功能就是默認開啟的。最終你可以獲得更安全的通信方式,因為有可能另一端支持比IPsec協(xié)議更高級的加密方式。
因此,盡管你已經(jīng)獲得這個功能了,但我并不會對人說‘部署IPv6會更安全,’因為這并不是發(fā)明IPv6的初衷。IPv6的出現(xiàn)并不是為了解決這一問題的。它要解決的問題是IPv4地址已經(jīng)耗盡,同時全球互聯(lián)網(wǎng)仍在增長。因此,IPv6解決的是這個問題,同時也希望它不會加劇安全問題,同時如果人們部署得當,它還有可能實現(xiàn)更好的安全性。
2、你已經(jīng)通過IPsec實現(xiàn)了加密和驗證,但它們只是可選設(shè)置。這讓我想起了SSL和TLS的問題,這些協(xié)議支持向后兼容,可以降級到安全性沒那么高的安全協(xié)議,如RC4。但是,這會不會成為采用IPv6的一個問題呢,因為IPsec在IPv6中是可選的?
Curran:當然。它具有相同的挑戰(zhàn)和風(fēng)險。很難有一種方法使網(wǎng)絡(luò)本身變得更安全,因為你可以指定一種協(xié)議,但最終是其他人去部署這個協(xié)議。有一些供應(yīng)商會自己修改協(xié)議的特性,這種情況已經(jīng)發(fā)生過很多次了。即使標準要求安全性,但這并不意味著實際實現(xiàn)就一定是符合標準的。
我認為,任何人都不應(yīng)該相信啟用IPv6就能夠讓它們本身變得更加安全。我認為,啟用IPv6能夠讓它們保持技術(shù)和解決最重要的問題。此外,我認為啟用IPv6在很多時候都能夠提高網(wǎng)絡(luò)性能,但是很多人還沒有認識到這一點。
3、如果企業(yè)決定直接不提供其服務(wù)器和網(wǎng)站的IPv6連接,跟蹤用戶及流量的功能會受到怎樣的影響?
Curran:目前有一些公開網(wǎng)站仍然有在使用IPv4連接的用戶,他們沒有IPv6。因此,你有一個網(wǎng)站,網(wǎng)站對應(yīng)一個域名,它有IPv4地址和IPv4連接,但并沒有IPv6地址或IPv6連接。
對于互聯(lián)網(wǎng)而言,你只能通過IPv4訪問,但是有一些移動網(wǎng)絡(luò)已轉(zhuǎn)為IPv6。它們已經(jīng)完成遷移。為了訪問你的網(wǎng)絡(luò),即使本地基站是IPv6,且手機使用IPv6連接基站,同時你的網(wǎng)站也在同一個城市,甚至有可能在同一個網(wǎng)絡(luò),當我嘗試訪問你的IPv4網(wǎng)站時,我還是必須先連接到另一個城市,因為你的IPv4網(wǎng)絡(luò)對我而言是不可見的,需要先轉(zhuǎn)換為IPv6才能訪問。因為你并沒有轉(zhuǎn)換到IPv6,所以要由運營商來轉(zhuǎn)換,我訪問你的域名將返回一個IPv6地址,因為盡管你的網(wǎng)絡(luò)不支持IPv6,運營商的網(wǎng)絡(luò)是只支持IPv6的。
我將會連接到一個數(shù)據(jù)中心,由它將我的IPv6 HTTP請求映射到IPv4,然后再返回結(jié)果。這個過程可能經(jīng)過了很長距離:甚至可能到了另一個國家。因此,如果你不修改,其他人也會將網(wǎng)絡(luò)修改為IPv6,然后你必然發(fā)現(xiàn)它會對性能產(chǎn)生重大影響。
這個問題現(xiàn)在就已經(jīng)在發(fā)生著:我有一些朋友在Facebook和LinkedIn工作,他們都告訴我公司的服務(wù)在IPv6上要比IPv4快,其中一個原因是因為運營商網(wǎng)絡(luò)已經(jīng)在移動端遷移至IPv6。
4、有時候好像我們必須在一些互聯(lián)網(wǎng)角落一直保留IPv4,就像有人仍然在使用Windows 95一樣。
Curran:Peter,你現(xiàn)在還在用著IPX(互聯(lián)網(wǎng)數(shù)據(jù)包交換)、DECnet或SNA(系統(tǒng)網(wǎng)絡(luò)架構(gòu))嗎?是這樣,我敢肯定世界上某個角落一定還運行著這些東西。那么,世界某個角落是否還運行著IPv4呢?肯定的。它會不會成為討論焦點呢?按道理說,肯定不會的。
5、我們聊一下網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和IPv6。IPv6鏈路本地尋址是否會替代NAT的功能。NAT的未來發(fā)展是怎么樣的?
Curran:首先,現(xiàn)在確實有很多地方部署著用于轉(zhuǎn)換地址的NAT。因此,如果你的設(shè)備只支持IPv6,那么顯然你一定要通過NAT才能連接IPv4,因為這里需要用到地址轉(zhuǎn)換。
另外,肯定也有IPv4到IPv4的轉(zhuǎn)換,因為如果你在一個包含私有地址的大型網(wǎng)絡(luò)中,然后又需要連接互聯(lián)網(wǎng),那么這時就要用到IPv4到IPv4的NAT,許多家庭寬帶網(wǎng)絡(luò)就是這種情況。人們使用NAT是因為他們只有一個地址,然后他們又有200個人要連網(wǎng)。
那么,我們要知道NAT的特性。我甚至認為要有一個NAT IPv6標準,但我承認我自己并沒有花很多時間去研究這個問題。
這里有一個問題:NAT并不包含安全功能。
它可能帶來一些方便的管理特性;它不一定對性能有影響,還要取決于它的實現(xiàn)方式和負載;但是只要我們知道NAT不包含安全功能,那么所有答案都一樣:它不支持IPv4安全性,也不支持IPv6安全性。它可能會讓人覺得方便一些,但實際上讓人方便并不等于保證安全。
最后,你仍然需要一個防火墻。你需要用一個防火墻檢查協(xié)議和數(shù)據(jù)包,再決定是否允許數(shù)據(jù)包進入。如果使用了NAT,仍然需要一個防火墻。沒有人會說有NAT之后不需要防火墻也能夠保護網(wǎng)絡(luò)。
馬匹蒙上眼睛之后會跑得更快,但是它們看不見路。NAT就是這樣的東西:它讓人感覺良好,但是它不一定能夠改變問題。
售前咨詢
售后咨詢
備案咨詢
二維碼
TOP