IPv6安全网络的架构(图)_3_1

    其他安全措施

    ipsec提供了网

    通常，物理层的威胁来自于设备的不可靠性，诸如板卡的损坏、物理接口的电器特性和电磁兼容环境的劣化等。对这样的安全隐患，可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。

    在物理层以上层面，存在的安全隐患主要有来自于针对各种协议的安全威胁，以及意在非法占用网络资源或者耗尽网络资源的安全隐患，诸如双802.1q封装攻击、广播包攻击、mac洪泛、生成树攻击等二层攻击，以及虚假的icmp报文、icmp洪泛、源地址欺骗、路由振荡等针对三层协议的攻击。

    在应用层，主要有针对http、ftp/tftp、telnet以及通过电子邮件传播病毒的攻击。对于这些攻击，可以采用的防护手段包括：通过aaa、 tacacs+、radius等安全访问控制协议，控制用户对网络的访问权限，防患针对应用层的攻击；通过mac地址和ip地址绑定、限制每端口的mac 地址使用数量、设立每端口广播包流量门限、使用基于端口和vlan的acl、建立安全用户隧道等来防范针对二层的攻击；通过路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度以减轻路由振荡影响等措施，来加强三层网络的安全性。

    综上所述，安全的网络是众多安全技术的综合，而ipv6ipsec机制是其中重要的组成部分，提供了协议层面上的一致性解决方案，这也是ipv6相比ipv4的重大优越性。

    同时，为了构建安全网络，还应该采取其他安全措施。（1）结合aaa认证、nat-pt、二/三层mplsvpn、基于acl标准的访问列表和静态扩展访问列表、防分片包攻击等来实现安全预防。（2）通过路由过滤、静态路由、策略路由和路由负荷分担来实现安全路由。（3）通过sshv2 （secureshell第2版）、snmpv3（简单网络管理协议第3版）、exc，提供进程访问安全、线路访问安全。（4）通过分级管理、定制特权级管理等手段来实现网络的安全管理。（5）通过完善的告警、日志和审计功能实现网络时钟的安全。（6）提供访问列表和关键事件的日志、路由协议事件和错误记录等，供网络管理人员进行故障分析、定位和统计。