企業廣域網IPv6規劃需要謹慎地評估你們公司所有硬件軟件産品組合,但是你是否漏掉了什麽沒有?用下面5個步驟來避免常見的IPv6規劃難題,幫你輕鬆渡過IPv6難關。
既然你已經讀了我之前關于遷移IPv6的文章,你應該準備好實施IPv6了。簡單,對吧?不完全是。當然能肯定一點:目前大多數基礎設施已經支持IPv6,但是IPv6的遷移需要更深入的思考而不僅是從IPv4到Ipv6簡單的重新配置設備。而且,成功的IPv6規劃要求全面考慮設備的能力,系統架構,可擴展性,管理和供應商服務。
IPv6規劃難題1:硬件還是軟件?
大多數路由器和交換機都支持IPv6,但是這些網絡設備如何轉發IPv6包却不一樣。高容量的核心路由器在它的專用硬件(比如,專用集成電路或是網絡處理器)上處理數據包來加速IPv4轉發。但是硬件架構通常不支持IPv6;這意味著路由器在通用處理器上處理IPv6數據包,這將導致轉發速度變慢和容量低下。
IPv6規劃難題2:應用程序
大多數應用程序不關心底層網絡的網絡協議(IP),但是有些不是這樣,比如使用會話啓動初始化協議(SIP)的即時服務。SIP創建者泛了個嚴重的錯誤,把IP地址信息封裝到SIP報文表頭中。廠家和SIP應用程序開發者必須重新設置他們的應用程序來支持SIP包頭中的IPv6信息。
IPv6規劃難題3:運營商
對IPv6的支持還是很有限,特別是像MPLS和家庭因特網這樣的服務。例如Verizon的FiOS就不支持IPv6,因此使用FiOS的家庭或者遠程工作人員沒有隧道協議是無法使用IPv6服務的。許多家庭路由器也不支持IPv6。同時,一些運營商包括Comcast, NTT and Hurricane Electric已經在著手IPv6實施了。大多數運營商采用雙協架構:它們支持v4和v6,通過CGN(carrier grade NAT)作爲v4到v6的網關。但是CGN在網絡中會導致額外的傳輸延遲。因此很多因特網架構師擔心CGN打破了端對端的因特網模式;這意味著運營商可以讓它們不穿透NAT來限制不需要的服務。無論如何,CGN可能是目前唯一可行的方案來解决不光是IPv4到IPv6的互通問題,還有最小化IPv4和IPv6路由傳播,以此减少運營商邊界路由器的資源負荷。
IPv6規劃難題4:多重專綫和私有地址
多重專綫是大多數企業一個標準做法,IPv6地址設計的層次化結構是通過匯總路由到聚合路由來簡化路由表。而IPv6設計者幷沒有考慮到對私有地址或多重專綫的需求,但是企業希望既安全又有彈性。創建一個多重專綫或者v6地址轉換策略需要你與服務提供商緊密聯繫,這樣才能有自己的IPv6地址空間。
IPv6規劃難題5:其他
解决了前面4個規劃難題,下面一個才是最難的。今天的IP網絡不僅由路由器,交換機和電腦組成。廣域網優化和管理平臺,供應和變更管理程序,傳感器還有M2M設備,管理工具,購買IT産品時,這些都需要考慮。IT工程師必須分析它們是否支持IPv6來策劃升級或是網關策略,保證現有的應用程序和設備可以在IPv4-IPv6混合網絡裏共存。
總體來說,這5個IPv6規劃難題不應該使任何人不敢嘗試IPv6遷移,它們應該起到提醒的作用,即實施IPv6需要大量的提前規劃。我們很多客戶已經受益于IPv6專業人員公司提供的專業服務。然而實際的實施還是很少的,我們期望第三方服務將隨著實際的部署而增加。重視這些IPv6規劃難題,通往IPv6之路將變得更加清晰。
2011年8月20日 星期六
IPv6部署的六項資訊保安考慮
2011年2月3日無聲無息的過去了,這一天對於互聯網業界來說,卻非比尋常,同時亦是一個里程碑。那天,互聯網數字分配機構 (IANA) 把最後可用的IPv4地址分配殆盡。雖然某些地區的互聯網註冊管理機構 (RIR) 還有夠一兩年使用的庫存,但全新IPv4地址分配的時代已基本成為歷史。
既然IPv4已經用盡,那麼是時候認真考慮採用下一代互聯網協議IPv6了。目前,每小時就會增加一百萬台新設備,而IPv6具有128位元的地址空間 (IPv4只有32位元空間),可以適應互聯網當前及未來的發展需求。實際上,與IPv4的43億個IP地址相比,IPv6可以再增加340萬億萬億萬億 (3.4 x 1038 ) 地址,足以滿足可預見未來的全球互聯網需求。
可是,企業部署IPv6方案時,卻有6大保安考慮,假若有所忽視,則有可能帶來無法彌補的損失。
首先,從IPv4轉換為IPv6的過程中,交易處理 (Transaction) 可能更容易受到攻擊。由於IPv4與IPv6並非完全兼容,因此協議轉換就成為最廣泛的部署形式。從IPv4到IPv6的轉換中,當轉換流通過網絡時,必然產生需要協調交易處理。試想像一個郵局的郵差,他必須打開每個IPv4信封,再將每封信裝入一個IPv6信封中,以確保它能投遞到正確的位址,此時要修改內容,從而使之與新的IPv6信封外的資訊相符。每做一次這個操作都給有可能產生或觸發一個潛在的漏洞。通常情況下,資訊科技管理人員應注意所有轉換與交易處理機制 (包括隧道) 的保安問題,只有經過了徹底評估以後,才可啟用這些機制。
其次,企業應注意,大型網絡分段既有優點也有缺點。IPv6的網絡段規模要遠遠大於我們現有的網絡分段,雖然這能夠實現幾乎無限制的LAN長度,但這一巨大的規模也帶來了保安的挑戰。例如,掃描一個IPv6網絡的漏洞要花數年時間,而掃描一個IPv4子網只需花幾秒鐘。既然不可能做完整的掃描,那麼比較好的辦法或許是縮小要掃描IP的區間範圍,或者明確地分配掉所有地址,並且暗中拒絕餘下的所有地址,從而達至精細的IP管理。
在IPv4過渡至IPv6技術期間,使用「6to4」IP地址轉換模式及協助ISP快速部署IPv6的6RD均無需配置專用的隧道,就能使IPv6封包在IPv4基建上傳送。但是,部署IPv6代理伺服器可能會使代理營運商帶來不少頭痛問題,包括發現式攻擊、網絡詐騙,以及反射式攻擊,而代理營運商本身更有可能被利用,成為一個攻擊和濫用的「源頭」。
現有的保安修補軟件可能只支援IPv4,而使用新的IPv6棧後,肯定會逐步顯現潛在的應用或系統漏洞。同時,在過渡週期內長期存在兩個棧,以及路由器、最終系統與網絡服務 (如DNS) 之間的相互依存,顯然會為犯罪分子提供充分發揮的空間。
另一方面,被大型網絡位址轉譯協定 (NAT-PT) 設備所隱藏的使用者,可能會廢除一些有用功能 (如地理定位) 或工具,間接助長惡意網絡行為,並且讓基於信譽的號碼與命名空間的保安控制更難以執行。
IPSec能夠對發送者作出認證,提供完全的保護,並且可選採用加密的IP分組封包以保護傳輸的數據。IPSec在IPv4中是一個選擇性功能,而在IPv6中是強制使用。在隧道模式下 (即是建立一個網絡間、主機至網絡,以主機間通訊的VPN),整個封包被封裝在一個新的IP封包內。可是,當我們與一個沒法控制的外部網絡建立VPN連接時,則可能引發保安問題或導致數據外洩。
2月3日這個里程碑的日子已成歷史,我們將別無選擇地去發展和傳播一些最佳實踐,從而使下一代IP位址更加穩定、可靠和安全,而這個開始需要依靠網絡與資訊保安人員的認知與知識
既然IPv4已經用盡,那麼是時候認真考慮採用下一代互聯網協議IPv6了。目前,每小時就會增加一百萬台新設備,而IPv6具有128位元的地址空間 (IPv4只有32位元空間),可以適應互聯網當前及未來的發展需求。實際上,與IPv4的43億個IP地址相比,IPv6可以再增加340萬億萬億萬億 (3.4 x 1038 ) 地址,足以滿足可預見未來的全球互聯網需求。
可是,企業部署IPv6方案時,卻有6大保安考慮,假若有所忽視,則有可能帶來無法彌補的損失。
首先,從IPv4轉換為IPv6的過程中,交易處理 (Transaction) 可能更容易受到攻擊。由於IPv4與IPv6並非完全兼容,因此協議轉換就成為最廣泛的部署形式。從IPv4到IPv6的轉換中,當轉換流通過網絡時,必然產生需要協調交易處理。試想像一個郵局的郵差,他必須打開每個IPv4信封,再將每封信裝入一個IPv6信封中,以確保它能投遞到正確的位址,此時要修改內容,從而使之與新的IPv6信封外的資訊相符。每做一次這個操作都給有可能產生或觸發一個潛在的漏洞。通常情況下,資訊科技管理人員應注意所有轉換與交易處理機制 (包括隧道) 的保安問題,只有經過了徹底評估以後,才可啟用這些機制。
其次,企業應注意,大型網絡分段既有優點也有缺點。IPv6的網絡段規模要遠遠大於我們現有的網絡分段,雖然這能夠實現幾乎無限制的LAN長度,但這一巨大的規模也帶來了保安的挑戰。例如,掃描一個IPv6網絡的漏洞要花數年時間,而掃描一個IPv4子網只需花幾秒鐘。既然不可能做完整的掃描,那麼比較好的辦法或許是縮小要掃描IP的區間範圍,或者明確地分配掉所有地址,並且暗中拒絕餘下的所有地址,從而達至精細的IP管理。
在IPv4過渡至IPv6技術期間,使用「6to4」IP地址轉換模式及協助ISP快速部署IPv6的6RD均無需配置專用的隧道,就能使IPv6封包在IPv4基建上傳送。但是,部署IPv6代理伺服器可能會使代理營運商帶來不少頭痛問題,包括發現式攻擊、網絡詐騙,以及反射式攻擊,而代理營運商本身更有可能被利用,成為一個攻擊和濫用的「源頭」。
現有的保安修補軟件可能只支援IPv4,而使用新的IPv6棧後,肯定會逐步顯現潛在的應用或系統漏洞。同時,在過渡週期內長期存在兩個棧,以及路由器、最終系統與網絡服務 (如DNS) 之間的相互依存,顯然會為犯罪分子提供充分發揮的空間。
另一方面,被大型網絡位址轉譯協定 (NAT-PT) 設備所隱藏的使用者,可能會廢除一些有用功能 (如地理定位) 或工具,間接助長惡意網絡行為,並且讓基於信譽的號碼與命名空間的保安控制更難以執行。
IPSec能夠對發送者作出認證,提供完全的保護,並且可選採用加密的IP分組封包以保護傳輸的數據。IPSec在IPv4中是一個選擇性功能,而在IPv6中是強制使用。在隧道模式下 (即是建立一個網絡間、主機至網絡,以主機間通訊的VPN),整個封包被封裝在一個新的IP封包內。可是,當我們與一個沒法控制的外部網絡建立VPN連接時,則可能引發保安問題或導致數據外洩。
2月3日這個里程碑的日子已成歷史,我們將別無選擇地去發展和傳播一些最佳實踐,從而使下一代IP位址更加穩定、可靠和安全,而這個開始需要依靠網絡與資訊保安人員的認知與知識
2011年8月19日 星期五
ZyXEL ZyWALL USG 50-H 線上影音教學
ZyXEL ZyWALL USG 50-H 教育訓練(上)
ZyXEL ZyWALL USG 50-H 教育訓練(下)
ZyXEL ZyWALL USG-50-H IPSec VPN設定教學
ZyXEL ZyWALL USG-50-H 橋接模式設定教學
ZyXEL ZyWALL USG 50-H SSL VPN主機端分享設定
ZyXEL ZyWALL USG 50-H SSL VPN用戶端分享設定
ZyXEL ZyWALL USG 50-H 建立企業內網設定教學
ZyXEL ZyWALL USG 50-H 頻寬管理設定教學
ZyXEL ZyWALL USG 50-H 負載平衡設定教學
影片來源:合勤線上影音專區
ZyXEL ZyWALL USG 50-H 教育訓練(下)
ZyXEL ZyWALL USG-50-H IPSec VPN設定教學
ZyXEL ZyWALL USG-50-H 橋接模式設定教學
ZyXEL ZyWALL USG 50-H SSL VPN主機端分享設定
ZyXEL ZyWALL USG 50-H SSL VPN用戶端分享設定
ZyXEL ZyWALL USG 50-H 建立企業內網設定教學
ZyXEL ZyWALL USG 50-H 頻寬管理設定教學
ZyXEL ZyWALL USG 50-H 負載平衡設定教學
影片來源:合勤線上影音專區
可疑檔案分析(分享)
可疑檔案分析l VirusTotal【說明】VirusTotal 整合了 40 多家防毒引擎,檔案限制大小 20 MB
l VirSCAN【說明】和 VirusTotal 一樣,為一整合的可疑檔案分析服務,整合了 30 多家防毒引擎,檔案限制大小 20 MB
l Kaspersky File Scanner【說明】檔案限制大小 1 MB
l avast! Online scanner【說明】檔案限制大小 16 MB
l Dr.WEB Online Check
l ThreatExpert【說明】提供可疑檔案的行為分析,包含檔案、記憶體、登錄碼的異動、新增、修改、刪除及其他的系統設定都會條列出來。
l COMODO Instant Malware Analysis【說明】和 ThreatExpert 一樣,讓使用者不需要執行檔案,即可進行可疑檔案的行為分析。
另外: 免費防毒軟體 / 防火牆 免費掃毒(救援)光碟
免費掃毒(救援)光碟(分享)
免費掃毒(救援)光碟l Kaspersky Rescue Disk【下載】http://support.kaspersky.com/viruses/rescuedisk
【網路】支援 DHCP與固定 IP
【簡易使用手冊下載】
l F-Secure Rescue CD
l AVG Rescure CD【下載】http://www.avg.com/us-en/avg-rescue-cd
【網路】支援 DHCP 與固定 IP
【簡易使用手冊下載】
l Avira AntiVir Rescure System【下載】http://www.avira.com/en/support-download-avira-antivir-rescue-system
【網路】僅支援 DHCP
l BitDefender Rescure CD【下載】http://download.bitdefender.com/rescue_cd/
【網路】支援 DHCP 與固定 IP
【簡易使用手冊下載】
l Dr.Web LiveCD【下載】http://www.freedrweb.com/livecd/
【網路】支援 DHCP 與固定 IP
【簡易使用手冊下載】
由於病毒的演變日新月異,因此需要進行病毒碼的更新,而在進行更新時就需要網路的支援,以上面所列的來說,需使用 DHCP 或是固定 IP。
【網路】支援 DHCP與固定 IP
【簡易使用手冊下載】
【網路】支援 DHCP 與固定 IP
【簡易使用手冊下載】
【網路】僅支援 DHCP
【網路】支援 DHCP 與固定 IP
【簡易使用手冊下載】
【網路】支援 DHCP 與固定 IP
【簡易使用手冊下載】
另外: 免費防毒軟體 / 防火牆 免費可疑檔案分析
免費防毒軟體 / 防火牆(分享)
防毒軟體
l Avira AntiVir Personal
【下載】http://www.avira.com/zh-tw/avira-free-antivirus
【說明】更新時會伴隨著廣告
l Avast! Free AntiVirus
【下載】http://www.avast.com/free-antivirus-download
【說明】未註冊僅能使用 30 天 (註冊免費)
l AVG Anti-Virus Free Edition
【下載】http://www.avgtaiwan.com/
l Microsoft Security Essentials
【下載】http://www.microsoft.com/zh-tw/security_essentials/default.aspx
【說明】需經過 WGA (Windows Genuine Advantage) 驗證
l FortiClient Endpoint Security Standard Edition
【下載】http://www.forticlient.com/standard.html
【說明】支援 Windows 2000、2003、2008,含防火牆模組
l BitDefender Free Edition
【下載】http://www.bitdefender.com/world/solutions/free.html
【說明】不支援即時監控,只能手動開啟掃毒。BitDefender 有提供支援 Linux 與 FreeBSD 的防毒軟體
l Dr.Web CureIt!
【下載】http://freedrweb.com/cureit/
【說明】不支援即時監控,只能手動開啟掃毒,可以和其他防毒軟體搭配為第二套防毒軟體使用
l McAfee AVERT Stinger
【下載】http://www.mcafee.com/us/downloads/free-tools/stinger.aspx
【說明】不支援即時監控,只能手動開啟掃毒,可以和其他防毒軟體搭配為第二套防毒軟體使用,並且支援 Commnad 模式,供網管人員遠端操作
防火牆
l COMODO Internet Security
【下載】http://personalfirewall.comodo.com/free-download.html
【說明】含防毒模組(安裝時可取消)
l PC Tools Firewall Plus
【下載】http://www.pctools.com/firewall/
l Outpost Security Suite FREE
【下載】http://free.agnitum.com
【說明】需註冊才有 365 天的免費期限與病毒資料庫更新功能,含防毒模組
l Online Armor Free
【下載】http://www.online-armor.com/products-online-armor-free.php
l ZoneAlarm Free Firewall
【下載】http://www.zonealarm.com/security/en-us/anti-virus-spyware-free-download.htm
來自中央研究院計算中心
另外:免費掃毒(救援)光碟 免費可疑檔案分析
l Avira AntiVir Personal
【下載】http://www.avira.com/zh-tw/avira-free-antivirus
【說明】更新時會伴隨著廣告
l Avast! Free AntiVirus
【下載】http://www.avast.com/free-antivirus-download
【說明】未註冊僅能使用 30 天 (註冊免費)
l AVG Anti-Virus Free Edition
【下載】http://www.avgtaiwan.com/
l Microsoft Security Essentials
【下載】http://www.microsoft.com/zh-tw/security_essentials/default.aspx
【說明】需經過 WGA (Windows Genuine Advantage) 驗證
l FortiClient Endpoint Security Standard Edition
【下載】http://www.forticlient.com/standard.html
【說明】支援 Windows 2000、2003、2008,含防火牆模組
l BitDefender Free Edition
【下載】http://www.bitdefender.com/world/solutions/free.html
【說明】不支援即時監控,只能手動開啟掃毒。BitDefender 有提供支援 Linux 與 FreeBSD 的防毒軟體
l Dr.Web CureIt!
【下載】http://freedrweb.com/cureit/
【說明】不支援即時監控,只能手動開啟掃毒,可以和其他防毒軟體搭配為第二套防毒軟體使用
l McAfee AVERT Stinger
【下載】http://www.mcafee.com/us/downloads/free-tools/stinger.aspx
【說明】不支援即時監控,只能手動開啟掃毒,可以和其他防毒軟體搭配為第二套防毒軟體使用,並且支援 Commnad 模式,供網管人員遠端操作
防火牆
l COMODO Internet Security
【下載】http://personalfirewall.comodo.com/free-download.html
【說明】含防毒模組(安裝時可取消)
l PC Tools Firewall Plus
【下載】http://www.pctools.com/firewall/
l Outpost Security Suite FREE
【下載】http://free.agnitum.com
【說明】需註冊才有 365 天的免費期限與病毒資料庫更新功能,含防毒模組
l Online Armor Free
【下載】http://www.online-armor.com/products-online-armor-free.php
l ZoneAlarm Free Firewall
【下載】http://www.zonealarm.com/security/en-us/anti-virus-spyware-free-download.htm
來自中央研究院計算中心
另外:免費掃毒(救援)光碟 免費可疑檔案分析
如何實踐企業私有雲 - 虛擬化最佳應用架構研討會
您是否感受到隨著資訊越來越龐大而感到難以管理?或者擔心安全防護與效能相容的問題?根據國際數據IDC預測,雲端運算已然成為企業資訊架構的新興應用模式,企業私有雲的部署會使資訊自動化與系統全面整合,而從現實情況來分析,私有雲的第一步就是建造企業資源池化,將所有資源池化,如運算資源、網路資源、儲存資源等彈性調度。
敦陽科技看到您的需求,特推出企業虛擬化最佳應用架構的整合建構與服務,讓您在邁向企業私有雲過程中建置最佳運算架構;因此特別舉辦『如何實踐企業私有雲 虛擬化最佳應用架構研討會』,結合NetApp、VMware兩大原廠及客戶案例的寶貴建置經驗,讓您輕鬆走在雲端。再無後顧之憂!誠摯邀請您共襄盛舉!
※ 因場地座位有限,請盡早報名!
活動日期:100.09.01 (四)
※若因不可預測之突發因素,主辦單位得保留本研討會日期及課程之變更權利。
注意事項:
※活動對象:企業用戶。
※座位有限,請儘速報名。
※主辦單位留報名資格之最後審核權利。
※活動報名專線:(02)2656-5676莊小姐。
※ 主辦單位保留贈品更換權。
※ 本活動中,所有個人資料均完善保存在主辦單位資料庫中。
敦陽科技看到您的需求,特推出企業虛擬化最佳應用架構的整合建構與服務,讓您在邁向企業私有雲過程中建置最佳運算架構;因此特別舉辦『如何實踐企業私有雲 虛擬化最佳應用架構研討會』,結合NetApp、VMware兩大原廠及客戶案例的寶貴建置經驗,讓您輕鬆走在雲端。再無後顧之憂!誠摯邀請您共襄盛舉!
※ 因場地座位有限,請盡早報名!
活動日期:100.09.01 (四)
活動時間:13:30~16:50
活動地點:亞太會館201會議室(台北市信義區松高路68號)
時間 | 議題 | 講師 |
13:30~14:00 | 活動報到 | |
14:00~14:10 | 致歡迎詞 | |
14:10~14:50 | VMware協助客戶打造全新虛擬化私有雲 | VMware 技術顧問 - 蘇書平 |
14:50~15:40 | NetApp協助客戶建構創新的雲端基礎架構 | NetApp 技術顧問 - 歐力彰 |
15:40~16:00 | 中場休息 | |
16:00~16:40 | 成功案例分享 | 敦陽科技 技術經理 - 陳哲生 |
16:40~16:50 | 問答時間 & 幸運抽獎 | |
16:50 | 活動結束 | |
注意事項:
※活動對象:企業用戶。
※座位有限,請儘速報名。
※主辦單位留報名資格之最後審核權利。
※活動報名專線:(02)2656-5676莊小姐。
※ 主辦單位保留贈品更換權。
※ 本活動中,所有個人資料均完善保存在主辦單位資料庫中。
訂閱:
文章 (Atom)