IPV6技术在数字化校园建设中安全防范研究

俞莎

摘要：随着校园网的日益发展，IPv6网络在我国数字化校园网中广泛部署，其安全问题也日益突出。基于我院数字化校园网庞大的实验环境，该文从分析IPV6数字化校园网的安全特点入手，对IPV6技术在我院数字化校园建设中体现的安全问题进行了分析，阐述了保证IPv6对解决我院数字化校园网安全实现的一些策略。

关键词：IPv6；数字化校园网；策略

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）10-2221-02

Abstract： With the development of campus network， IPv6 networks are widely deployed in the digital campus network in China， its security issues are also increasingly prominent. The experimental environment of our campus network based on the huge， this paper analyzed the characteristics of IPV6 digital campus network security of the security problems of IPV6 technology， embodied in the construction of digital campus in our hospital were analyzed， discussed some strategies to solve the IPv6 guarantee our campus network security implementation.

Key words： IPv6； digital campus network； strategy

随着近年来数字化校园的高速发展，IPv6网络在弥补IPv4网络安全性能不高、路由表过度膨胀、服务质量低下等问题的同时拥有巨大的地址空间，还具备对移动性的内在支持、即插即用易于配置等优点，安全性的提升是IPv6改进中的一个重要方面。

1 IPv6技术的显著优势

IPv6巨大的地址空间降低了探测攻击的风险，使用户可获得惟一的网络IPv6地址与其个人信息绑定，且节点不需要使用NAT技术将网络地址转换就可以和对方沟通，使攻击发生后的追踪更快更精准。IPV6中需要强制执行IPsec，IPsec为每个节点提供数据源认证，并对其完整性和保密性提供保证，抵御攻击。认证头和封装安全载荷将安全机制内置于IPV6协议中，增加了对数据保密性的支持，保护了数据完整性，不被非法篡改和防止源地址假冒和抗重放攻击。

2 IPV6技术在我院数字化校园建设中运用

我院校园网已部署了 IPv6 网络，由于目前IPv4协议和设备在校园网中仍占有很大比例，因此充分考虑两者的融合和用户接入IPv6需求，采用了 IPv4、IPv6 混合组网模式。校园网在设计时就考虑了多种 IPv6 的接入方式，校园网络拓扑图1 所示。

我院校园网目前以一台高性能IPv4/IPv6双协议栈三层交换机为核心设备，教学区包括求真楼、求实楼、崇美楼和实训楼，办公楼一栋，学生区宿舍若干，都采用的汇聚层交换机，其中教学区是新购置的双协议栈三层交换机，但学生宿区部分汇聚交换机为原有的纯 IPv4 交换机，所以在每栋楼采用了接入层交换机。网络出口采用了一台双协议栈的路由器与外界网络连接。用户采用双协议栈的方式访问网络。

3 IPV6技术在我院数字化校园建设中安全隐患

3.1 IPv4、IPv6混合模式

如图1所示，我院校园网现采用双栈接入的方式把具备双栈功能的设备进行连接，网内的用户使用支持 IPv4/IPv6 双栈的WINXP和 WIN7操作系统。用户通过地址解析的结果来访问相应资源，但黑客可以利用两种协议中存在的安全漏洞或协议版本中安全设备的协调不足来逃避检测，在协议进行协调攻击。

如图1所示，由于部分学生宿舍区及办公楼原有的一级汇聚交换机不支持 IPv6，更换设备的成本过高，所以在点上的汇聚交换机上启用了配置隧道协议，另一部分宿舍区启用 ISATAP隧道接入采用二层交换机直接接入汇聚交换机上，与核心交换机建立 ISATAP 隧道接入 IPv6 网络。这样用户就无需额外配置就可以接入混合网络，但隧道机制对数据包只进行简单的封装和解封，不能对其地址关系进行严格检查，使网络会存在一定的安全风险。

3.2 IPV6在我院数字化校园网建设中的隐患

1） IPV6协议特点在我院数字化校园网建设中的隐患：

① 组播报文因缺乏IPV4中TCP（传输控制协议）的功能进行数据的可靠传输，使数据缺乏完整性和机密性保护，且IPv6组播所需的组播维护协议也不能很好的达到安全的需要。

② 节点无状态地址自动配置时恶意主机可以假冒合法路由器发送伪造的RA报文和通告，使节点选择恶意主机为缺省网关进行攻击造成访问网络中断。

③ 报文的身份和哄骗报文攻击是邻居发现协议（NDP）协议的主要安全需求和威胁，攻击者仿造节点不可达信息和重复地址检测进行DoS攻击，及传播虚假的路由响应和重定向报文都有可能骗取网络流量。

2） 由于我院校园网中还存在传统的防火墙设备，在这种混合模式的特殊环境下，包过滤型和复合型两种防火墙都将遭到IPv6的巨大冲击，因代理服务器型防火墙工作在应用层，受影响相对较小。

3） 我院校园网用户庞大且以学生用户为主的需求也是多方面的，这就要求PKI管理体系适应我院校园网实际需求提高数字设备证书与密钥管理的能力，制定严格而合理的访问控制策略，满足高访问量的响应速度和效率的同时掌控各类用户对PKI系统和其他服务器的访问。

4） 我院数字化校园网用户特点带来的隐患

① IPv6编址机制使移动IPv6的隐患增加

在我院由于师生工作学习的需要，许多都自己配备了移动设备，往往在线环境下使用的时候易受到窃听及攻击。移动设备随便着网络环境的变化经常需要更改IP地址，且IPv6的编址机制中引入了IPv4兼容地址、本地链路地址、全局聚合单播地址和随机生成地址等，可自动根据网络接口标识符生成而无需DHCP自动配置协议等外部机制干预，实现不可路由的本地链路级端对端通信，这样移动的恶意主机可随时连入本地链路进行非法访问。

② 加密方式带来的隐患

我院校园网内的学生用户占有很大比例，普遍不够重视密码的设置和保护，且在IPv6下IPSec的隧道和传送两种工作模式都需要交换密钥，对于一些老版本操作系统用户来说，用户的合法权限和安全通信的访问权被攻击者破解并获得后，就可能被监听发送者或接收者的传输数据，甚至解密或窜改数据。攻击者还可以来意的向目标主机发送大规模看似合法的加密数据包使目标主机耗费资源请求，造成拒绝服务。

4 IPV6技术在我院数字化校园建设中安全隐患的防范措施

结合以上对我院数字化校园网存在的安全隐患的分析，要保证其信息安全不但要对网内用户进行网络安全方面的教育及培训，还要在建设之初考虑建立新型的安全架构，结合高职职业教育的教学特点和潜在问题制定合适的安全措施；通过溯源性监测用户在网络上的行为并采取适当的行动来达到安全监管的目的。除加强对木马和流氓软件的防范、防备意外情况的发生外主要包括以下几点：

4.1 硬件方面

1） 添加具有入侵检测功能的监听设备

提高系统的CPU和内存等硬件设备的性能的同时，利用基于数据挖掘技术构建的入侵检测系统和新算法从大规模网络环境中快速自动获取各种协议信息内容后在应用层将截获的数据包还原，对其进行评估和分析后再对网络入侵或攻击做出及时响应。将数据挖掘技术应用于网络入侵检测可充分发挥数据挖掘处理大数据量的优势，提高检测的效率和准确性。

2） 利用过滤器过滤报文进行防御

针对防御拒绝服务攻击最好是能在攻击源最近的设备上设置过滤器，从源攻击端对报文进行过滤阻止攻击。可以通过路由记录的变化来确定每条可能的攻击路径，并在每条路径当中寻找最远的一个可信点后加装过滤器阻止攻击的联网业务主动过滤机制对数据报文进行封装，发往另一个解封点的设置服务器子网边界保护机制。

3） 防火墙策略

防火墙通过对系统的访问控制提供内外网络通讯，实现集中的安全管理来增强系统的保密性。在我院网络中端到端的连接、移动IP的处理、内嵌IPSee、路径MTU探测等方面都跟防火墙产品的性能密切相关，要适应实际的使用特点和环境，在可靠应用与计算环境为基础的角度上设计并解决安全问题。

4.2 软件方面

1） 系统漏洞扫描及修补进行防御

对于针对系统漏洞来破坏网络安全的攻击应及时通过漏洞扫描模块发现并修补系统漏洞，并对系统打上相应的补丁。在安装配置IIS 时将IIS 管理器中的主目录改变默认路径安装在其他逻辑盘；删除由安装成功后产生的虚拟目录；只保留所需的配置文件类型和目录可执行权限。

2） 设置访问和共享权限进行防御

设置访问权限保证用户只能通过合法验证用户名和密码的方式进入网络在权限内进行操作。其密码设置应注意避免空口令且在设置时最好使用字符、数字、大小写混合的长度较长的密码。

为减弱拒绝服务攻击的影响，就必须为用户提供更为优化的资源分配方式，避免共享资料设置成完全共享防止非法用户通过局域网窃取共享资料，授权共享密码并限定用户范围来保证共享目录资料的安全。应修改默认的3389 端口，限定取得合法用户的安全证书和授权的IP地址才能访问服务器终端。

4.3 管理方面

在网络体系结构设计初期将管理纳入到体系范围，加强网络管理的策略，重视管理与技术相结合，增强对网络的可视化管理、自动化管理和交叉层次管理，从管理上增强网络的稳定性、加强网络故障的自我修复能力，网络要能够根据网络具体行为或者配置的变化作出反应，从而构建一个协同能力强、行为分析能达到统一的系统。

参考文献：

[1] 华南理工大学信息网络工程研究中心.校园I Pv6网络安全新威胁分析[J].中国教育网络社，2012，2.

[2] 惠敬文，陈花荣，卢超.IPV6下入侵防御技术的研究[J].科技信息，2010，10.

[3] 彭岩.浅谈IPv6的网络安全机制在校园网的应用[J].教育信息技术，2012，2.