没有防火墙的世界IPv6日迁移挑战仍存在

2015-02-02 09:59:22   点击:
  世界IPv6日并没有什么爆炸新闻。6月8日,内容供应商和网络运营商对下一代128位十六进制的互联网地址协议进行了测试,他们都反映这个活

  世界IPv6日并没有什么爆炸新闻。6月8日,内容供应商和网络运营商对下一代128位十六进制的互联网地址协议进行了测试,他们都反映这个活动没什么新意——客户获得服务器,而服务器提供内容。但是,这并不意味着广域网(WAN)管理者的IPv6迁移计划会成功。


  根据测绘工程主管Matt Levine的看法,内容交付网络(CDN)供应商Akamai科技的网络工程师已经了解到并非所有IPv6转变技术都能够采用相同的方法创建。


  Levine说道:“非托管的6to4通道是专门设计用来在 IPv4网络上传输IPv6数据包的,它是一个“古怪”且“问题多多”的技术,这在网络操作者中已经是广为所知了。”


  他说:“网络工程师可能会说道‘这个非托管的6to4通道是一个不错的获取IPv6数据的技术’,而传统的观点认为:不要采用这种方法。不要尝试这种非托管的技术来随意使用IPv6----这会出问题。”


  “通道技术要求在数据包上增加一个额外的数据头,这一般会导致IPv6包过大,而无法通过IPv4通道,从而造成IP数据包分裂,Levine说道:“很多防火墙往往会将那些通过压缩数据包大小来解决问题的控制机制当做无关数据过滤掉(参照Internet Control Message Protocol第6版(ICMPv6))。”


  “双堆栈网络本来就支持IPv4和IPv6,虽然它的部署需要耗费更多的时间和人力,但是它可靠得多,”Levine说。


  “一旦建立了连接,那么应用程序就不能明显受到IPv6迁移的影响,”Levine说:“WAN管理员必须只关注那些与IP地址相关的应用程序,如尝试施加访问控制规则的应用程序。”


  “不管您在哪里执行这些操作,您都必须重新考虑,并确保v6的用户可以访问,”Levine说。


  IPv6迁移:安全问题仍然存在


  但是WAN专业人员需要应对的不只是在IPv6迁移计划中处理更多的底层传输问题。根据Gartner Inc的研究主管Lawrence Orans的看法,关于IPv6安全性的问题仍然大量存在,其中大部分是因为网络安全供应商放缓了对IPv6的投资和支持。


  Orans说:“除了他们的政府和军队客户,网络安全供应商看到对IPv6支持的需求很少。事实上,世界IPv6日并没有指出任何重大的安全问题,因此也没有为供应商的后续动态做出提示。”


  “WAN管理员可以在不需要网络安全供应商帮助的情况下使他们的IPv6迁移更加的安全。在保证网络配置和政策支持下一代的协议之后,他们就可以开始行动了,”Akamai的Levine说道。


  “这是很容易的:‘假设我已经建立了规则:允许80端口传输HTTP流量’,但不考虑专用于IPv4的规则,” Levine说:“你可能只是刚刚建立了IPv6文件服务器,而这并非你本意。”


  “然而,IPv6迁移还涉及其他的安全性问题,它们只有在协议被广泛部署的情况下才可能被全面了解,”他说。


  “坏人可能会在某些时刻跳过一些地址,因此,现在你只能期望他们别太容易得逞,”Levine说:“当然,目前支持IPv4的操作系统已经非常安全。在这个方面, IPv6代码可能不是新的,但它还未广泛应用,所以可能会出现我们未曾遇到过的奇怪问题。