2020年安全部署IPv6指南(第一部分)：互联网边界防护

引言

2020年初告诉我们：网络互联服务需求达到历史高峰。IPv4已耗尽——它疲惫不堪、过度使用且远超生命周期。尽管通过变长子网划分等努力延长了IPv4的寿命，我们仍面临地址枯竭。网络地址转换(NAT)同样被滥用，它本质是地址保留技术而非安全方案。现在是时候拥抱IPv6了。

IPv6基础

• 地址空间：128位地址（IEEE 802协议0x86DD），IPv4封装时使用协议号41（6in4）
• 全球分配：IANA已向五大区域注册机构（ARIN/RIPE/APNIC/AFRINIC/LACNIC）分配地址块，包括：undefined/12：7个区块undefined/16：1个6to4转换块undefined/18-/23：多个区块分配给不同RIR
• 地址规模：若网络前缀占12位，ISP可分配2^116个主机地址（8.4×10^24）

实践部署

1. 隧道配置：通过Hurricane Electric建立6in4隧道，Ubuntu配置示例： # Linux 6in4隧道配置（协议41） ifconfig sit0 up ifconfig sit0 inet6 tunnel ::<IPv4端点> ifconfig sit1 up ifconfig sit1 inet6 add <IPv6地址>/64 route -A inet6 add ::/0 dev sit1
2. 基础测试工具：
   • ping6和traceroute6替代传统工具
   • DNS配置：apt install bind9部署本地解析器

安全架构

1. 边界地址过滤

• IANA分配过滤：仅允许35个已分配地址块的入站流量 # ip6tables规则示例 ipset create iana_ipv6 hash:net family inet6 ip6tables -A INPUT -m set --match-set iana_ipv6 src -j ACCEPT

2. ICMPv6安全策略

• 关键类型放行：
  • 类型1（目的不可达）
  • 类型2（包过大，保障PMTU发现）
  • 类型3/4（超时和参数问题）
• 严格拒绝：类型137（重定向攻击）

3. 反欺骗规则

# 禁止伪造成内部地址的入站流量
ip6tables -A INPUT -s <内部IPv6前缀> -j DROP
# 禁止内部地址作为出站目标
ip6tables -A OUTPUT -d <内部IPv6前缀> -j DROP

4. 多播过滤

• 丢弃源地址为多播的包（FF00::/8）
• 阻止特定范围多播（如站点本地FF05::/16）

5. 协议规范化

• 扩展头安全：
  • 禁止重复头（除目标选项头外）
  • 逐跳选项头必须首位
  • 丢弃路由头类型0（RH0攻击）

6. BGP安全增强

• 使用MD5认证或IPSec隧道
• 过滤AS路径长度>40的更新
• 启用严格URPF检查

工具集

• 测试工具：Scapy、thc-ipv6工具包
• 监控脚本：自动更新IANA分配列表的Shell脚本

结论

IPv6部署需同步实施严格边界防护。后续文章将探讨内部网络安全。本文技术要点均通过实际隧道环境验证，配置示例可直接应用于生产环境。

参考资源：

RFC 4890（ICMPv6过滤规范）

APNIC IPv6最佳实践

IANA IPv6地址空间分配表