如何关闭企业所有IPv6通道?
从IPv4转换到IPv6的技术其实主要是隧道技术的应用;这是一项将IPv6数据包装入IPv4数据包的技术,因此这样的数据包可以在仅限IPv4的网络中进行传输。这些隧道也可以用于企业网络中(如穿越一些不支持IPv6的传统网络设备)。 当然,网络运营商和安全团队对并不赞成这样的提议。主要的原因是隧道技术可以将真正的IPv6数据包以及网络流分析器给出的与之相关的4层及以上的信息,还有安全ACL,QoS设置等统统隐藏起来。有传言称,使用IPv6 in IPv4的隧道技术作为一种控制方法会导致僵尸网络。简而言之,企业网络中,如果这样的通道不是刻意为之,那么就应该将其关闭。(注意:上面的表述仅限于企业网络,因为个人用户可能非常乐意将其操作系统连接至IPv6网络。) 所以,对于网管而言,最根本的问题在于是否能阻止所有通道。 就一些6to4或ISATAP通道来说,要回答这个问题并不难:只需用访问控制列表(ACL)阻止所有41协议即可,如:
另一种通道是Teredo,它需要依赖UDP封装技术。Teredo使用的默认端口是3544.或许有人想使用如下的访问控制列表来解决:
但是,上面的访问控制列表会被恰好需要使用3544端口的普通数据包错误拦截。此外,不法用户也可以改变UDP.这种情况下,思科Flexible Pattern Matching的功能和灵活性就有了用武之地:FPM可以根据指定的偏移量来检查任意数据包,且要在最大平台的软件中完成;也就是说,FPM只在合适的位置使用。找出Teredo数据包的技巧就是要搜索所有UDP数据包,目的是获取所有以2001::/32开头的Teredo IPv6地址;请注意,此处我们使用的是/32,而不是/16,实际上,应该是2001:0::/32.还要对IP数据做进一步的检查。 完整的FPM配置如下:
最后一个步骤是将这一服务策略应用到界面:
最后,要请大家注意,另一种阻止所有通道的方法是指定所有网络主机上的配置以禁用通道。当然,这仅适用于企业网络。例如,在使用Vista系统的电脑中可以使用如下命令:
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
