2010年6月答辩--基于IPV6的校园网络安全.pptVIP

摘要 作为当前Internet网络基石的IPv4协议由于其固有的局限，在面对新一轮的Internet发展时表现出越来越多的不足。IPv6具有诸如海量地址、组播、邻居发现、自动配置等许多新特性，已经成为下一代Internet网络的首选协议。本文针对IPV6下的校园网络安全问题展开讨论和研究，对IPv6的新特性进行分析，对其组件、特性等进行了必要描述，并对目前常用的三种过渡技术双协议栈、隧道和IPv6/IPv4协议与地址转换进行分析；然后，对某校园网结构进行分析，评价，并推荐采用新一代校园网络的安全设备——CISCO产品来构建新型校园网，介绍CISCO设备应用于校园网的关键技术。在设计方案中还阐述网络攻击的主要途径以及构建新型校园网应该注意的问题等。本文还构建了基于网络设备仿真软件的IPv6实验平台，在实验中本着立足实际情况，充分体现IPv6的特性的基础上，运用CISCO技术开展IPv6试验网的实验与验证. IPv6理论基础 2.3 IPv6地址类型 RFC3513中，仍然建议IPv6地址分为单播、任播、组播三种类型。 (1)单播地址。 (2)任意播地址 (3)组播地址 IPv6理论基础 2.4 IPv6路由 IPv6使用的计算路由表的协议主要有三种，分别是RIPv6、OSPFv6、IDRPv6。 2.5 邻居发现协议 2.6 IPv6的安全机制 IPv6主要是通过两个专用的扩展报头将安全功能引入的，这两个扩展报头是：认证报头（AH）和安全有效负载封装报头（ESP），它们具有互补功能。 AH报头是设计用来确认信息包的可靠性和完整性。 ESP报头则提供数据加密封装，确保只有目的节点才可以阅读由IP信息包发送的有效数据。 3 清远市某中学校园网络分析 该中学网络存在的安全缺陷 1网络自身的安全缺陷 通过TCP/IP协议缺陷进行的常见攻击有很多，因此此校园网络最容易经受的攻击有：源地址欺骗、IP欺骗、源路由选择欺骗、路由选择信息协议攻击、SYN攻击等等。 2网络结构、配置、物理设备不安全 此中学最初的设计只是用于少数可信的用户群体,因此设计时没有充分考虑安全威胁,经过10年时间没更新设备，互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。 3内部用户的安全威胁 不少学生或者老师无心之失或恶作剧等原因对网络进行破坏或攻击的行为,将会给网络信息系统带来更加难以预料的重大损失。U盘、移动硬盘等移动介质交叉使用和在联接互联网的电脑上使用,造成病毒交叉感染等等,都会给校园网络带来较大的安全威胁。 该中学网络存在的安全缺陷 4软件的漏洞 5病毒的传播 6各种非法入侵和攻击 于校园网的接入点比较多,拥有众多的公共资源,并且使用者安全意识淡薄,安全防护比较薄弱,使得校园网成为易受攻击的目标。 构建新型现代的校园网络 1配备高性能的防火墙产品 2网络设计、使用更合理化 3软件漏洞修复 4防杀毒软件系统 5配备入侵检测系统(IDS)并建立蜜罐陷阱系统 6系统安全风险评估 7加强管理 面对当前校园网络安全的问题，提出构建新一代的网络。CERNET2是世界规模最大的纯IPV6网络。 逐步走进新型校园网------ IPv4到IPv6的过渡 “海洋与孤岛”理论 第一阶段，IPv4“海洋” ，现阶段的IPV4技术，不需要过渡。 第二阶段，IPv4“海洋”和IPv6“孤岛”，需要过渡技术，可供选择的技术为各种隧道，和IPv6/IPv4双栈与地址转换。 第三阶段，IPv4“海洋”和IPv6“海洋”。采用IPv6/IPv4地址转换技术。 第四阶段，IPv4“孤岛”和IPv6“海洋”。可能采用的过渡技术有NAT-PT 第五阶段，可能是纯IPv6“海洋”。不需要过渡技术。 过渡原则 1. 过渡方式应该是逐步的和渐进的，保护IPv4网络设备的投资，确保在一个相当长的历史阶段，IPv4网络设备可以在过渡时期中正常地独立使用。 2. IPv4网络世界和IPv6网络世界相互渗透，长期并存，这就要求IPv4和IPv6网络设备彼此可以互连互通，实现互操作。 3. IPv4网络世界向IPv6网络世界过渡过程中，IPv4向IPv6升级的费用应尽可能地低，过渡技术应尽可能地简单，以尽快地吸引广大用户主动的向IPv6过渡。由于IPv4协议和IPv6协议之间不具有相关性，因此IPv4和IPv6体系结构之间还需要构建相关的过渡机制来支持二者无缝地并存。 逐步走进新型校园网------ IPv4到IPv6的过渡 4.3 过渡策略 （1）双协议栈技术 设备同时支持IPV4和IPV6两种协议。 （2）隧道技术 随着IPv6网络的发展， 出现了许多局部的IPv6网络， 但是这些IPv6网络需要通过IPv4骨干网络相连。为了将