前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的高校IPv6網(wǎng)絡(luò)安全風(fēng)險和對策，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

摘要：IPv6網(wǎng)絡(luò)協(xié)議在我國高校中的廣泛應(yīng)用。雖然ipv6引入了大量全新的安全機制，一定程度上保證了網(wǎng)絡(luò)安全，并且可以在運行的過程中最大程度控制網(wǎng)絡(luò)風(fēng)險以及威脅。但是，在IPv6網(wǎng)絡(luò)協(xié)議中，始終存在著一定的漏洞問題。本文主要基于當(dāng)下高校IPv6網(wǎng)絡(luò)安全風(fēng)險與應(yīng)對進行詳細(xì)的闡述，供相關(guān)讀者參考。

關(guān)鍵詞：高校教育；IPv6；網(wǎng)絡(luò)安全；系統(tǒng)風(fēng)險

當(dāng)下的IPv6網(wǎng)絡(luò)協(xié)議技術(shù)水平正在高速發(fā)展以及不斷提升。在教育行業(yè)，高?；ヂ?lián)網(wǎng)的建設(shè)效果明顯改善。進行教育網(wǎng)絡(luò)建設(shè)的過程，有效推動了IPv6的建設(shè)進程，因此就更加需要重視網(wǎng)絡(luò)安全方面的影響，以此形成一種完善的安全防范機制，這樣才可以實現(xiàn)對風(fēng)險的防控以及預(yù)警。

1IPv6的部署安全風(fēng)險

1.1系統(tǒng)安全風(fēng)險

（1）IPv4的安全威脅

在采用IPv6協(xié)議的過程中，協(xié)議功能的發(fā)揮，雖然已經(jīng)有效提升了系統(tǒng)的安全性，但是在進行數(shù)據(jù)傳輸機制的設(shè)計中，卻一直延續(xù)使用著IPv4的機制，因此就會導(dǎo)致在時間IDE數(shù)據(jù)傳輸中，無法針對應(yīng)用層以及在傳輸層中的惡意攻擊手段，起到針對性的處理。

（2）IPv6協(xié)議的安全威脅

當(dāng)下在構(gòu)建出的全新網(wǎng)絡(luò)協(xié)議當(dāng)中，采用了全新的流標(biāo)簽字段、擴展報頭，這樣就可以起到對原本ARP鄰居有發(fā)現(xiàn)的安全隱患，但是會被當(dāng)作嗅探攻擊的基礎(chǔ)，因此，會導(dǎo)致在實際的運行過程中，經(jīng)常受到NDP攻擊、路由重定向攻擊等。

（3）過渡階段的安全風(fēng)險

高校在進行全新網(wǎng)絡(luò)協(xié)議的構(gòu)建過程中，所選擇的過渡階段，都始終需要充分結(jié)合其實際的情況，進行過渡技術(shù)的使用。但是，在現(xiàn)階段進行網(wǎng)絡(luò)技術(shù)的使用中，受到成本、網(wǎng)絡(luò)規(guī)模以及升級難度等諸多因素的限制，使得在進行處理的過程中，就需要進行針對性的分析?，F(xiàn)階段所采用了雙棧、隧道或者翻譯技術(shù)，都會導(dǎo)致出現(xiàn)各種類型的安全挑戰(zhàn)。例如，在雙棧的環(huán)境下，使得校園網(wǎng)的建設(shè)過程中，會形成IPv6與IPv4這兩種邏輯通道。其次，在其中一個協(xié)議的漏洞出現(xiàn)之后，所可能引發(fā)的攻擊，就會導(dǎo)致支持雙棧網(wǎng)絡(luò)節(jié)點的方式，對其邏輯上的兩張網(wǎng)絡(luò)，進行相互的傳播處理。這樣的系統(tǒng)形式，往往會導(dǎo)致對整個校園網(wǎng)造成直接的影響。其次，在形成的雙棧形式，也會導(dǎo)致網(wǎng)絡(luò)管理的形式更加復(fù)雜多變，在網(wǎng)絡(luò)運行的過程中，也提升了受到攻擊的可能性。而在隧道機制當(dāng)中，存在的風(fēng)險基本上都是由于校園網(wǎng)無法進行整體的升級，而是需要利用客戶端，或者使用路由器的方式，進行全新自動化隧道的構(gòu)建，這樣才可以實現(xiàn)對IPv6的接入。這樣全新的隧道出口路由器，就會成為被攻擊的重點目標(biāo)。一旦攻擊者掌握其IPv6協(xié)議當(dāng)中的漏洞，就會讓其隧道節(jié)點受到直接的攻擊，以此導(dǎo)致整體校園網(wǎng)的可靠性受到嚴(yán)重的影響。最后對于翻譯機制而言，就是一種經(jīng)常出現(xiàn)的DDoS攻擊風(fēng)險性行為。在現(xiàn)階段發(fā)起攻擊的過程中，會制造出大量的地址轉(zhuǎn)換的請求，以此使得翻譯節(jié)點，無法實現(xiàn)對用戶的正常分配，進而使得對整體網(wǎng)絡(luò)造成直接的影響。

1.2網(wǎng)絡(luò)設(shè)備安全風(fēng)險

（1）網(wǎng)絡(luò)層安全風(fēng)險防護

在現(xiàn)階段構(gòu)建出的校園網(wǎng)當(dāng)中，存在著用戶量大、有線以及無線終端相結(jié)合的網(wǎng)絡(luò)特征。因此，在采用了IPv6之后，使得全部終端都可以自由進行全球單播地址的使用，而不再適用NAT，但是這樣也會導(dǎo)致喪失了NAT的保護機制。在現(xiàn)階段的校園網(wǎng)當(dāng)中，設(shè)置出的防火墻、數(shù)據(jù)中心等，都需要進行更加精密的劃分，以此保障訪問控制策略配置有著更高的精確度。另外，在安全設(shè)備的使用過程中，還要利用雙棧的配置方式，以此提升了單點的故障率。

（2）應(yīng)用層安全防護風(fēng)險

當(dāng)下在應(yīng)用層的安全防護設(shè)備使用過程中，針對采用的IPv6報文解析能力，往往需要在設(shè)計的網(wǎng)絡(luò)規(guī)格部署過程中，進行針對性的檢驗。而在網(wǎng)絡(luò)流量的控制及分析系統(tǒng)的控制中，也會面臨著相似的風(fēng)險性問題。在出現(xiàn)了類似的風(fēng)險之后，也會導(dǎo)致在DNS產(chǎn)品上，使得校園網(wǎng)的域名解析中，基于遞歸與轉(zhuǎn)發(fā)這兩種形式進行處理。因此，一旦在遞歸的DNS產(chǎn)品上，存在著大量域名請求記錄，就會留下諸多的校園網(wǎng)正式地址。因此，一旦系統(tǒng)遭受到了入侵，就會直接導(dǎo)致這些重要信息的外泄。其次，還會導(dǎo)致在進行使用的過程中，存在著病毒性的問題。在類似的風(fēng)險行為問題，受到IPv6環(huán)境的影響，就會使得面向Web服務(wù)以及數(shù)據(jù)庫的服務(wù)中，會試圖對服務(wù)器的權(quán)限以及遠程命令的執(zhí)行進行相應(yīng)的處理。對于危害程度較高的Web服務(wù)安全和數(shù)據(jù)安全，會導(dǎo)致造成較為嚴(yán)峻的安全挑戰(zhàn)與風(fēng)險性問題。

2校園網(wǎng)部署IPv6的安全應(yīng)對措施

進行校園網(wǎng)的構(gòu)建過程中，為了保障IPv6的順利使用，就需要有效建立基于IPv6協(xié)議下的安全風(fēng)險防御體系，這就可以很好在后續(xù)的網(wǎng)絡(luò)規(guī)劃以及建設(shè)的過程中，保障各方面的安全性與穩(wěn)定性。特別是在管理的過程中，形成較強的安全體系。

2.1系統(tǒng)安全構(gòu)建

（1）設(shè)備升級

在現(xiàn)有的網(wǎng)絡(luò)安全防護技術(shù)下，由于IPv6的一些功能始終存在著一定的安全風(fēng)險，因此就需要在使用的過程中，對其設(shè)備進行全面的安全防護的升級以及調(diào)整，這樣就可以讓系統(tǒng)可以實現(xiàn)良好處理[1]。

（2）功能要求

當(dāng)下在安全防護的設(shè)備使用中，由于需要支持IPv6環(huán)境，因此就需要在過渡的過程中，基于IPv6與IPv4雙棧，伴隨著隧道等場景的功能性要求，需要在防火墻的設(shè)備使用時，積極使用針對性的過渡技術(shù)，并集成應(yīng)用層網(wǎng)關(guān)當(dāng)中，保障滿足IPv6的解析、識別以及病毒的檢測分析，這樣就可以十分有效地實現(xiàn)雙棧場景[2]。

（3）性能要求

當(dāng)下IPv6報文結(jié)構(gòu)當(dāng)中，由于可以指出各種類型的數(shù)量擴展頭，以此就使得防火墻等設(shè)備的解析報文的過程中，需要有效處理好各種IPv6頭信息鏈，并較為細(xì)致地進行多個擴展頭信息的數(shù)據(jù)包處理。甚至在出現(xiàn)異常的擴展頭數(shù)據(jù)包之后，還需要對其提供更高的性能方面的要求[3]。

（4）策略要求

現(xiàn)階段在構(gòu)建出的IPv6與IPv4的多種網(wǎng)絡(luò)的信息中，無論是在出口還是在數(shù)據(jù)中心中，都需要保障能夠構(gòu)建出的安全防護設(shè)備，不僅僅需要有著雙棧配置，還需要重點對其不同的邏輯通道，進行針對性的安全需求分析以及控制。而對于安全策略而言，則需要保持著一致性的檢查能力。

（5）安全網(wǎng)絡(luò)檢測

當(dāng)下所使用的安全檢測工具，就是一種在構(gòu)建出的IPv6網(wǎng)絡(luò)當(dāng)中，基于網(wǎng)段的方式，進行相應(yīng)的掃描處理。在上述工具的使用過程中，始終都需要在實際的調(diào)度策略的使用中進行深入的優(yōu)化以及研究處理。其次，在相關(guān)專項檢測工具的使用過程中，還需要重點對IPv6地址進行相應(yīng)的檢測分析。

（6）安全網(wǎng)絡(luò)監(jiān)測

現(xiàn)階段在使用的防病毒、惡意軟件等諸多方面的安全問題的處理中，始終需要保障IPv6進行有效的關(guān)聯(lián)，因此就可以結(jié)合起各種風(fēng)險問題，形成一個全面的威脅規(guī)則，這樣的系統(tǒng)可以很好保障網(wǎng)絡(luò)安全檢測與防護技術(shù)。例如，在防病毒的系統(tǒng)當(dāng)中，往往需要使用IPv6地址的方式，將其對使用的IP地址進行相應(yīng)的排查，這樣就可以形成規(guī)則庫。

2.2業(yè)務(wù)安全性的提升

在校園網(wǎng)當(dāng)中應(yīng)用了IPv6之后，使得進行的科學(xué)合理部署方式，可以有效對用戶的業(yè)務(wù)平臺，進行針對性的用戶訪問的支持。在進行部署的過程中，需要對基于業(yè)務(wù)的系統(tǒng)IPv6，進行針對性的改造以及處理，并且在業(yè)務(wù)系統(tǒng)的升級工程中，還需要全面提升安全能力的評估效果，最后則需要進一步提升防護的整體手段。在使用雙棧模式之后，可以很好形成針對性的業(yè)務(wù)系統(tǒng)部署模式，但是也相應(yīng)需要重新對這種模式下的網(wǎng)絡(luò)系統(tǒng)，進行針對性的重點問題評估，并全面增加安全防護的處理手段。其次，在使用了隧道模式部署的業(yè)務(wù)系統(tǒng)中，就是一種針對性隧道報文的重點保護，避免用戶身份被冒充。而在現(xiàn)階段進行翻譯模式的部署過程中，其業(yè)務(wù)系統(tǒng)往往需要對翻譯設(shè)備的安全防護，進行針對性的評估處理。而在防范系統(tǒng)拒絕了服務(wù)攻擊之后，就會導(dǎo)致翻譯設(shè)備可能出現(xiàn)宕機的問題，并對整個系統(tǒng)的業(yè)務(wù)造成直接的影響。在現(xiàn)階段的數(shù)據(jù)行程中，由于呈現(xiàn)出多樣化的處理效果，因此就需要在進行雙棧處理之后，需要積極對其IPv6進行解析，以及提供良好的云防護處理。對于公網(wǎng)的用戶而言，在校園網(wǎng)的網(wǎng)站群域名的解析過程中，其DNS可以利用請求的方式，對其轉(zhuǎn)發(fā)到云防護節(jié)點中，進行全面清洗處理，這樣就可以充分保障系統(tǒng)不會受到DDoS的攻擊，或者對其病毒的入侵造成不良的影響。在訪問數(shù)據(jù)的中心站群以及在數(shù)據(jù)流量的處理中，還需要基于IPv6進行獨立的訪問路由部署，以此保障實際運行的穩(wěn)定性。

2.3管理安全

需要全面加強現(xiàn)階段對于網(wǎng)站的監(jiān)控力度，通過對IPv6地址進行系統(tǒng)的安全管理工作。而在完成了IPv6的黑白名單的能力提升之后，基于黑名單的方式就可以十分有效地進行具體的識別以及封堵處理。另外，在IPv6規(guī)模部署之后，還需要積極對安全功能進行全面測試以及分析，并及時采集各種類型的情報信息，以此實現(xiàn)系統(tǒng)的安全管理。綜上所述，在當(dāng)下校園網(wǎng)的建設(shè)中，采用IPv6網(wǎng)絡(luò)協(xié)議之后，雖然引入了各種先進的安全防護處理方式，但是也需要積極應(yīng)對各種全新出現(xiàn)的安全風(fēng)險問題進行針對性的處理，以此全面提升校園網(wǎng)的整體安全性與穩(wěn)定性。

參考文獻：

[1]高秋燕.基于高校的IPv6網(wǎng)絡(luò)安全研究與實現(xiàn)[J].信息系統(tǒng)工程，2021（02）：55-56.

[2]邢帆.高校網(wǎng)絡(luò)安全——網(wǎng)絡(luò)信息安全工作組和IPv6應(yīng)用工作組聯(lián)合技術(shù)沙龍北京理工大學(xué)站[J].中國信息化，2017（10）：19.

[3]孫雅娟，林紅.關(guān)于高校IPv6校園網(wǎng)絡(luò)中ND協(xié)議安全的研究[J].華北電力大學(xué)學(xué)報（社會科學(xué)版），2011（S2）：321-324.

作者：張然 單位：陸軍炮兵防空兵學(xué)院