IPv6推动安防阶段性改革 安防厂商将面临新安全挑战
扫描二维码
随时随地手机看文章
为什么我们要了解IPv6
一般当我们提及IPv6,无非IPv6地址空间巨大,可以让地球上的每一粒沙子拥有一个IP地址,IPv6更加安全!但是今天小编要讲的,是不上IPv6,会有哪些后果和我们及时了解IPv6的必要性。
势不可挡:各大运营商已经在全面铺设IPv6,包括手机、家庭宽带,比如笔者所在地福州的移动4G手机,已经获得IPv6地址。
坐以待毙:当IPv6占用率达到一定比例的时候,我相信已有的网站、新申请备案的网站,会被强制要求上IPv6,如果不配置,已有网站停止运营、申请备案不予通过。甚至,到那时,手机、家庭宽带,会仅获得IPv6地址,无法获得IPv4地址。最后,IPv4从中国互联网中废除。
通过上述2点,可以知道,作为服务端(如WEB服务提供方)是必须要上IPv6的,否则不仅无法运营、连用户也都无法访问。
问题一:内网需要IPv6吗?
家庭内网,比如连着wifi的手机、电脑
企业内网,比如办公室内每个工位上的电脑
数据中心内网,比如机房内的服务器、公有云主机
这些内网环境,是否也需要配置ipv6地址?
只要你想访问IPv6互联网,就必须要在终端上配置IPv6地址。原因在于“IPv6优先原则”,越来越多的程序,比如各大编程语言的许多主流模块/框架,在进行域名解析时,会通过dns优先查询AAAA记录(对应IPv4的A记录) ,若该域名有提供IPv6访问,就必然会解析出AAAA记录。接着,就会优先通过IPv6来访问(即使本机没有配置IPv6,甚至没有启用IPv6),如果IPv6网络不通,则该访问直接失败,即便有的模块/框架在失败后会尝试IPv4,但已经增加了许多的延时。
问题二:IPv6地址太复杂了,记不住啊
说的好像IPv4地址你能背下来似的,其实IPv6地址只是长度增加,并且展示方式从十进制改为十六进制,具体的计算方式是一样的。而且有dns在,没必要去背IP地址,就算是内网的IPv6地址,也可以通过DHCPv6或者路由器发送RA包来自动生成IPv6地址。
问题三:每台服务器都有IPv6地址,会暴露整个内网,不安全
担心是对的,但解决方案也和IPv4一样,有2种:
可以在内网服务器上配置“IPv6私网地址”,这样公网就访问不到了。在IPv6中,私网地址是fd00::/8,这相当于IPv4的10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。然后在网关上配置NAT;
依然用“IPv6公网地址”(即全球单播地址),但在网关上配置“有状态防火墙”。
无论是哪种方案,最终都实现了“只出不进”,即服务器可以主动访问IPv6公网,但公网无法主动访问进来,保证了内网的安全。
IPv6基础知识
关于IPv6的教程,网络上已经有非常多写的很棒的教程了,现编没有把握能写出更好的,因此《IPv6系列》文章,将把重点放在一些概念、解决方案、很多人没注意到的坑、工作原理等等
IPv6地址长度
? IPv4:32 bit
? IPv6:128 bit
可以这么记忆,IPv6比IPv4多了一倍的段落,并且每个段落里增加了一倍的长度,所以IPv6比IPv4长了2×2=4倍
IPv6地址组成
? IPv4:网络号+主机号/子网掩码,如192.168.1.2/24
? IPv6:前缀ID+接口ID/前缀长度,如2001:0000:0000:0000:0011:0000:0000:0010/64
地址简写
? IPv4:不支持
? IPv6:压缩0
注意:IPv6单个段落内可重复压缩,比如上述可压缩为2001:0:0:0:11:0:0:10/64;若多个段落连续为0,可压缩,但只能压缩一次,比如上述可进一步压缩为2001::11:0:0:10/64,或者2001:0:0:0:11::10/64,通常为前者。
检验方法
找一台linux服务器,比如centos7系统,执行ip addr add ${IPv6地址} dev eth0,然后ip addr show dev eth0看一下会如何压缩。
另外,除了单播、多播,IPv6相比IPv4新增了一种任播(anycast),任播是属于单播范畴内的,无法单纯从地址识别出任播。
术语
节点:任何运行IPv6的设备
路由器:转发不是发给自己的IPv6报文的节点
主机:非路由器的节点
接口:节点和链路相连的物理或逻辑配件
链路:由路由器分割的网络接口集合
邻居:同一链路上的节点
链路MTU:链路能传输的最大单位,即最大的IPv6报文字节数
路径MTU:IPv6源端和目的端之间能传输的最大的IPv6报文字节数,通常是路径中所有链路的最小链路MTU
IPv6地址生成
? IPv4:手工指定、dhcp分配
? IPv6:手工指定、dhcp分配、自动生成
在IPv6里,主流方案就是自动生成IP,而不是手工指定或dhcp分配。当然,作为服务端是需要手工指定的,但对于更广阔的客户端来说,基本都是自动生成。这种自动生成的,叫做“无状态”,相对于“无状态”,通过dhcp获取到的固定IP,就叫做“有状态”(dhcp也支持“无状态”,这里不做详解)。
除了协议规定的特殊地址,其他可自行分配的地址,都是可以在具体范围内自动生成的,包括链路本地、全球单播、唯一本地。其中全球单播、唯一本地,是在接收到路由器发送的RA包后自动生成,具体生成的是全球单播还是唯一本地,是根据RA包内容中的前缀而定。
IPv6推动安防阶段性改革
在物联网感知层中,摄像机采集的数据信息占据世界物联网数据约一半以上的存储量。传统视频监控技术在智慧城市、公共安全等各行业已获得广泛的应用,而目前网络视频监控技术正在升级为“以视频为核心的物联信息服务”,即“视频+”“视频+多维感知”和“视频+多维应用”,视频监控网络已成为目前应用广泛、技术成熟的物联网。
IPv6在地址空间的扩充对于智慧安防在视频监控领域的设备连接上、云服务平台的管理上、以及视频数据传输安全上都起到很好的管控作用。结合5G的不断发展,在数据传输速率与频段上,也能起到良好的省时省力作用,IPv6为智慧安防带来的双效应值得引起关注。
因此,IPv6的发展与规模化推进落地,在互联网产业上将是一次新的产业革命,同样对于智慧安防领域也会是一场阶段性改革。这场局,智慧安防不仅该迅速进场,更应该趁势追击,迅速拓展应用试点加速全面落地范围。
安防厂商将面临新安全挑战
IPv6带来的另一个优点,就是大幅提升的安全性。在IPv6的部署中,IPSec一度是标配,这意味着在IPv6地址之间传输数据往往是经由加密的,信息不再会被轻易劫持。在智慧城市势如破竹的发展趋势下,智能视频监控、人脸识别、车牌识别等技术带来的信息安全问题引发了大众的高度关注,IPv6无疑将很大程度上满足公众对个人信息安全的要求。
不过,IPv6的安全性也不是高枕无忧。随着IPv6的大规模推进部署,全球互联网安全格局将发生重大变化。Pv6会面临现有IPv4网络下碎片化的攻击,地址欺骗和泛洪等问题依然存在。专家表示,网络安全威胁和新型网络安全形势严峻,IPv6将会成为主要的攻击点。万物互联时代,安防厂商也将迎来新的要求和挑战。