【51CTO.com 綜合消息】IPV6時代到來
2011年2月10日,,全球互聯(lián)網(wǎng)IP地址相關(guān)管理組織發(fā)出正式通告,,現(xiàn)有的互聯(lián)網(wǎng)IP地址已于當(dāng)天分配完畢,。中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)方面也確認,,IP地址總庫已于過年期間正式枯竭,。
6月8日世界IPv6日這天,,400多家運營商、企業(yè)和機構(gòu)參與了IPv6試運行測試,,未發(fā)現(xiàn)任何重大事故,。之后,Google,、Facebook,、Yahoo等互聯(lián)網(wǎng)巨頭宣布將在他們自己的主要網(wǎng)站上永久支持IPv6訪問。
國內(nèi)IPV6的發(fā)展業(yè)已取得長足進步,,各大運營商都在積極備戰(zhàn),,紛紛推出商用IPV6網(wǎng)絡(luò)。下一代互聯(lián)網(wǎng)絡(luò)已經(jīng)成為中國信息化發(fā)展的戰(zhàn)略性任務(wù),。
IPV6時代真的要來了?。。,。,。?/strong>
IPV6帶來的變化
IPv6是IETF設(shè)計的用來替代現(xiàn)行的IPv4協(xié)議的下一代網(wǎng)絡(luò)標(biāo)準(zhǔn),,IPv6是為了解決IPv4所存在的一些問題和不足而提出的,,同時它還在許多方面提出了改進。?
◆地址容量大大擴展,由原來的32位擴充到128位,,徹底解決IPv4地址不足的問題,; ?
◆報頭格式大大簡化,從而有效減少路由器或交換機對報頭的處理開銷,,這對設(shè)計硬件報頭處理的路由器或交換機十分有利,; ?
◆服務(wù)質(zhì)量(QoS)提高,流標(biāo)簽的使用讓我們可以為數(shù)據(jù)包所屬類型提供個性化的網(wǎng)絡(luò)服務(wù),,并有效保障相關(guān)業(yè)務(wù)的服務(wù)質(zhì)量,; ?
◆認證與私密性,IPv6把IPSec作為必備協(xié)議,,保證了網(wǎng)絡(luò)層端到端通信的完整性和機密性,; ?
◆地址的結(jié)構(gòu)層次更加優(yōu)化,從而減小路由表的大小,,并且可以通過地區(qū)本地地址和選路控制來定義某個組織的內(nèi)部網(wǎng)絡(luò),。?
◆更容易配置和部署,只要機器一連接上網(wǎng)絡(luò)便可自動設(shè)定地址,。它有兩個優(yōu)點,。一是最終用戶用不著花精力進行地址設(shè)定,二是可以大大減輕網(wǎng)絡(luò)管理者的負擔(dān),。
IPV6的安全解決方案
為了解決IPV4在數(shù)據(jù)安全上面的不足,,IPV6協(xié)議將IPSec集成到協(xié)議內(nèi)部,從此IPSec將不再單獨存在,,而是作為IPv6協(xié)議固有的一部分貫穿于IPV6的各個領(lǐng)域,。
IPsec使用兩種安全協(xié)議來加強IP協(xié)議的安全性: IP認證頭(Authentication Header,AH)協(xié)議和封裝安全負載(Encapsulating Security Payload,,ESP)協(xié)議,,完全實現(xiàn)了數(shù)據(jù)傳輸過程中的完整性、保密性,、無可抵賴性,。為了實現(xiàn)AH和ESP的功能,還要有相關(guān)的密鑰管理協(xié)議實現(xiàn)密鑰的預(yù)共享,。
借助集成的IPSEC協(xié)議的安全特性,,IPV6協(xié)議本身可以實現(xiàn)IPV4+IPSEC數(shù)據(jù)傳輸安全解決方案的所有特性。同時由于IPSEC協(xié)議本身仍然只是專注于網(wǎng)絡(luò)層安全,,而忽略應(yīng)用層安全和服務(wù)可用性,,所以IPV6安全方案也延續(xù)了IPV4+IPCEC方案在與應(yīng)用緊密結(jié)合方面的弱點。
IPV6 vs IPV4+IPSEC vs SSL
在當(dāng)前網(wǎng)絡(luò)中,,主要存在兩種數(shù)據(jù)傳輸安全解決方案,,IPSEC VPN和SSL VPN,。由于SSL VPN在應(yīng)用相關(guān)、細粒度授權(quán)以及部署便捷等方面的優(yōu)勢特點,,越來越成為用戶安全接入領(lǐng)域的首選方案,。
在下一代IPV6網(wǎng)絡(luò)中,基于集成的IPSEC協(xié)議,,在移動安全接入方面徹底擺脫了原有的客戶端方式,,提高了易用性和簡便性,但是由于協(xié)議本身工作在網(wǎng)絡(luò)層面,,無法和應(yīng)用緊密結(jié)合,,更不用說基于應(yīng)用的訪問控制、多重認證方式,、細粒度授權(quán)、應(yīng)用負載等功能特性,。所以仍然無法替代SSL VPN在用戶業(yè)務(wù)網(wǎng)絡(luò)中的重要作用,。
IPV6時代的SSL VPN
在IPV6網(wǎng)絡(luò)中,各種產(chǎn)品都需要做出調(diào)整以適應(yīng)變化,,SSL VPN 系統(tǒng)也同樣面臨著挑戰(zhàn),,除了保持原有接入、認證,、授權(quán),、訪問控制等功能外,還需要全面適應(yīng)IPV6網(wǎng)絡(luò)帶來的各種新變化:
1,、IPV6終端接入
IPV6網(wǎng)絡(luò)發(fā)展,,終端的IPV6支持首當(dāng)其沖,而SSL VPN系統(tǒng)作為實現(xiàn)終端安全接入的首選方案,,對于支持IPV6協(xié)議的終端要求能夠?qū)崿F(xiàn)輕松接入,。
2、IPV6業(yè)務(wù)發(fā)布
在IPV6網(wǎng)絡(luò)中,,服務(wù)應(yīng)用全部工作在IPV6協(xié)議之上,,SSL VPN系統(tǒng)中基于應(yīng)用的業(yè)務(wù)發(fā)布、細粒度授權(quán)和訪問控制等功能,,都和這些服務(wù)應(yīng)用息息相關(guān),,所以要求SSL VPN系統(tǒng)能夠發(fā)布基于IPV6協(xié)議的服務(wù)應(yīng)用。
3,、雙棧工作
IPV4網(wǎng)絡(luò)向IPV6網(wǎng)絡(luò)遷移的過程不會是一蹴而就的,,會有很長一段時間是IPV4和IPV6并存的階段,兩套協(xié)議將同時使用,,目前解決該問題的最好方法就是雙棧,。所謂雙棧(Dual IP Stack) ,就是在一個系統(tǒng)(如一臺主機或一臺路由器) 中同時使用IPv6/ IPv4 兩個可以并行工作的協(xié)議棧,。在雙棧的工作環(huán)境匯中,就要求SSL VPN設(shè)備支持雙棧,,即可以同時接入分別工作在V6和V4協(xié)議棧的終端,,也可以同時發(fā)布基于V6和V4的業(yè)務(wù)應(yīng)用。
4,、協(xié)議轉(zhuǎn)換
在IPV6和IPV4并存的網(wǎng)絡(luò)中,,網(wǎng)絡(luò)設(shè)備具備除了雙棧機制外,還要求可以實現(xiàn)IPV4和V6之間的協(xié)議裝換,。作為接入網(wǎng)關(guān),,具備IPV6功能的SSL VPN設(shè)備要求能夠平滑實現(xiàn)不同協(xié)議棧的終端和應(yīng)用服務(wù)之間的靈活訪問。
網(wǎng)神新一代SSL VPN安全接入網(wǎng)關(guān)全面支持IPV6
網(wǎng)神新一代SecSSL 3600網(wǎng)關(guān)是網(wǎng)神SSL VPN核心研發(fā)團隊在近10年的SSL VPN研發(fā)經(jīng)驗和對SSL VPN具有深入的研究的基礎(chǔ)上,,研發(fā)出的一款面向企業(yè),、電信級用戶網(wǎng)絡(luò)核心應(yīng)用的產(chǎn)品設(shè)備。
網(wǎng)神SSL VPN產(chǎn)品全面支持IPV6協(xié)議:?
◆產(chǎn)品自身支持基于IPV6的網(wǎng)絡(luò)配置和管理,,可以無縫的部署在IPV6網(wǎng)絡(luò)中,;?
◆產(chǎn)品支持IPV4和IPV6客戶端的代理和NC模式實現(xiàn)網(wǎng)絡(luò)安全接入,支持雙棧工作和IPV4 和V6之間的協(xié)議轉(zhuǎn)換,;?
◆產(chǎn)品可以同時發(fā)布工作在IPV6和IPV4協(xié)議之上的應(yīng)用服務(wù),;?
◆產(chǎn)品可以與工作在IPV6協(xié)議上的認證服務(wù)器和日志服務(wù)器配合工作。
基于以上功能,,網(wǎng)神SSL VPN系統(tǒng)給用戶提供了一套可以完美工作在IPV6時代的安全接入解決方案,。