【51CTO.com 綜合消息】IPV6時代到來
2011年2月10日,,全球互聯(lián)網(wǎng)IP地址相關(guān)管理組織發(fā)出正式通告,,現(xiàn)有的互聯(lián)網(wǎng)IP地址已于當天分配完畢。中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)方面也確認,,IP地址總庫已于過年期間正式枯竭,。
6月8日世界IPv6日這天,400多家運營商,、企業(yè)和機構(gòu)參與了IPv6試運行測試,,未發(fā)現(xiàn)任何重大事故。之后,,Google,、Facebook,、Yahoo等互聯(lián)網(wǎng)巨頭宣布將在他們自己的主要網(wǎng)站上永久支持IPv6訪問。
國內(nèi)IPV6的發(fā)展業(yè)已取得長足進步,,各大運營商都在積極備戰(zhàn),,紛紛推出商用IPV6網(wǎng)絡(luò),。下一代互聯(lián)網(wǎng)絡(luò)已經(jīng)成為中國信息化發(fā)展的戰(zhàn)略性任務(wù)。
IPV6時代真的要來了?。,。。,。?/strong>
IPV6帶來的變化
IPv6是IETF設(shè)計的用來替代現(xiàn)行的IPv4協(xié)議的下一代網(wǎng)絡(luò)標準,IPv6是為了解決IPv4所存在的一些問題和不足而提出的,,同時它還在許多方面提出了改進。?
◆地址容量大大擴展,,由原來的32位擴充到128位,,徹底解決IPv4地址不足的問題; ?
◆報頭格式大大簡化,,從而有效減少路由器或交換機對報頭的處理開銷,,這對設(shè)計硬件報頭處理的路由器或交換機十分有利; ?
◆服務(wù)質(zhì)量(QoS)提高,,流標簽的使用讓我們可以為數(shù)據(jù)包所屬類型提供個性化的網(wǎng)絡(luò)服務(wù),,并有效保障相關(guān)業(yè)務(wù)的服務(wù)質(zhì)量; ?
◆認證與私密性,,IPv6把IPSec作為必備協(xié)議,,保證了網(wǎng)絡(luò)層端到端通信的完整性和機密性; ?
◆地址的結(jié)構(gòu)層次更加優(yōu)化,,從而減小路由表的大小,,并且可以通過地區(qū)本地地址和選路控制來定義某個組織的內(nèi)部網(wǎng)絡(luò)。?
◆更容易配置和部署,,只要機器一連接上網(wǎng)絡(luò)便可自動設(shè)定地址,。它有兩個優(yōu)點。一是最終用戶用不著花精力進行地址設(shè)定,,二是可以大大減輕網(wǎng)絡(luò)管理者的負擔(dān),。
IPV6的安全解決方案
為了解決IPV4在數(shù)據(jù)安全上面的不足,IPV6協(xié)議將IPSec集成到協(xié)議內(nèi)部,,從此IPSec將不再單獨存在,,而是作為IPv6協(xié)議固有的一部分貫穿于IPV6的各個領(lǐng)域。
IPsec使用兩種安全協(xié)議來加強IP協(xié)議的安全性: IP認證頭(Authentication Header,,AH)協(xié)議和封裝安全負載(Encapsulating Security Payload,,ESP)協(xié)議,,完全實現(xiàn)了數(shù)據(jù)傳輸過程中的完整性、保密性,、無可抵賴性,。為了實現(xiàn)AH和ESP的功能,還要有相關(guān)的密鑰管理協(xié)議實現(xiàn)密鑰的預(yù)共享,。
借助集成的IPSEC協(xié)議的安全特性,,IPV6協(xié)議本身可以實現(xiàn)IPV4+IPSEC數(shù)據(jù)傳輸安全解決方案的所有特性。同時由于IPSEC協(xié)議本身仍然只是專注于網(wǎng)絡(luò)層安全,,而忽略應(yīng)用層安全和服務(wù)可用性,,所以IPV6安全方案也延續(xù)了IPV4+IPCEC方案在與應(yīng)用緊密結(jié)合方面的弱點。
IPV6 vs IPV4+IPSEC vs SSL
在當前網(wǎng)絡(luò)中,,主要存在兩種數(shù)據(jù)傳輸安全解決方案,,IPSEC VPN和SSL VPN。由于SSL VPN在應(yīng)用相關(guān),、細粒度授權(quán)以及部署便捷等方面的優(yōu)勢特點,,越來越成為用戶安全接入領(lǐng)域的首選方案。
在下一代IPV6網(wǎng)絡(luò)中,,基于集成的IPSEC協(xié)議,,在移動安全接入方面徹底擺脫了原有的客戶端方式,提高了易用性和簡便性,,但是由于協(xié)議本身工作在網(wǎng)絡(luò)層面,,無法和應(yīng)用緊密結(jié)合,更不用說基于應(yīng)用的訪問控制,、多重認證方式,、細粒度授權(quán)、應(yīng)用負載等功能特性,。所以仍然無法替代SSL VPN在用戶業(yè)務(wù)網(wǎng)絡(luò)中的重要作用,。
IPV6時代的SSL VPN
在IPV6網(wǎng)絡(luò)中,各種產(chǎn)品都需要做出調(diào)整以適應(yīng)變化,,SSL VPN 系統(tǒng)也同樣面臨著挑戰(zhàn),,除了保持原有接入、認證,、授權(quán),、訪問控制等功能外,還需要全面適應(yīng)IPV6網(wǎng)絡(luò)帶來的各種新變化:
1,、IPV6終端接入
IPV6網(wǎng)絡(luò)發(fā)展,,終端的IPV6支持首當其沖,而SSL VPN系統(tǒng)作為實現(xiàn)終端安全接入的首選方案,,對于支持IPV6協(xié)議的終端要求能夠?qū)崿F(xiàn)輕松接入,。
2,、IPV6業(yè)務(wù)發(fā)布
在IPV6網(wǎng)絡(luò)中,服務(wù)應(yīng)用全部工作在IPV6協(xié)議之上,,SSL VPN系統(tǒng)中基于應(yīng)用的業(yè)務(wù)發(fā)布,、細粒度授權(quán)和訪問控制等功能,都和這些服務(wù)應(yīng)用息息相關(guān),,所以要求SSL VPN系統(tǒng)能夠發(fā)布基于IPV6協(xié)議的服務(wù)應(yīng)用,。
3、雙棧工作
IPV4網(wǎng)絡(luò)向IPV6網(wǎng)絡(luò)遷移的過程不會是一蹴而就的,,會有很長一段時間是IPV4和IPV6并存的階段,,兩套協(xié)議將同時使用,目前解決該問題的最好方法就是雙棧,。所謂雙棧(Dual IP Stack) ,就是在一個系統(tǒng)(如一臺主機或一臺路由器) 中同時使用IPv6/ IPv4 兩個可以并行工作的協(xié)議棧,。在雙棧的工作環(huán)境匯中,,就要求SSL VPN設(shè)備支持雙棧,,即可以同時接入分別工作在V6和V4協(xié)議棧的終端,也可以同時發(fā)布基于V6和V4的業(yè)務(wù)應(yīng)用,。
4,、協(xié)議轉(zhuǎn)換
在IPV6和IPV4并存的網(wǎng)絡(luò)中,網(wǎng)絡(luò)設(shè)備具備除了雙棧機制外,,還要求可以實現(xiàn)IPV4和V6之間的協(xié)議裝換,。作為接入網(wǎng)關(guān),具備IPV6功能的SSL VPN設(shè)備要求能夠平滑實現(xiàn)不同協(xié)議棧的終端和應(yīng)用服務(wù)之間的靈活訪問,。
網(wǎng)神新一代SSL VPN安全接入網(wǎng)關(guān)全面支持IPV6
網(wǎng)神新一代SecSSL 3600網(wǎng)關(guān)是網(wǎng)神SSL VPN核心研發(fā)團隊在近10年的SSL VPN研發(fā)經(jīng)驗和對SSL VPN具有深入的研究的基礎(chǔ)上,,研發(fā)出的一款面向企業(yè)、電信級用戶網(wǎng)絡(luò)核心應(yīng)用的產(chǎn)品設(shè)備,。
網(wǎng)神SSL VPN產(chǎn)品全面支持IPV6協(xié)議:?
◆產(chǎn)品自身支持基于IPV6的網(wǎng)絡(luò)配置和管理,,可以無縫的部署在IPV6網(wǎng)絡(luò)中;?
◆產(chǎn)品支持IPV4和IPV6客戶端的代理和NC模式實現(xiàn)網(wǎng)絡(luò)安全接入,,支持雙棧工作和IPV4 和V6之間的協(xié)議轉(zhuǎn)換,;?
◆產(chǎn)品可以同時發(fā)布工作在IPV6和IPV4協(xié)議之上的應(yīng)用服務(wù);?
◆產(chǎn)品可以與工作在IPV6協(xié)議上的認證服務(wù)器和日志服務(wù)器配合工作,。
基于以上功能,,網(wǎng)神SSL VPN系統(tǒng)給用戶提供了一套可以完美工作在IPV6時代的安全接入解決方案。