图3 SRv6跨域安全防护


































                二、边界安全产品SRv6防护分析                                 息。边界安全产品中的边界访问控制和入侵防范安全产品基于报文头
                SRv6  源路由技术改变了网络的路由转发机制，对部署在                     的五元组信息检测，而SRv6源路由特性将真正的目的地址隐藏在SRv6
            SRv6  网络中的安全产品带来了新的挑战。目前SRv6技术主要                     段列表，对区域边界安全产品的安全防护功能造成挑战。
            应用于IP骨干网络和SD-WAN网络，大部分数据中心、企业内网                          如图5所示，边界安全产品保护内部网络，禁止外部网络访
            和园区网还未实现SRv6升级改造，所以应优先对边界安全产品                        问内部数据库，允许外部用户访问对外服务。
            如防火墙和入侵检测设备进行SRv6防护分析。随着SRv6应用场                          攻击者封装SRv6报文，将攻击目标数据库地址C隐藏到SRv6
            景的扩展，更多的网络安全产品应积极应对SRv6网络带来的变                        段列表内，报文头目的地址采用的是服务地址B。由于报文头
            化， 增加对 SRv6 协议的支持和保护。                                中的地址符合安全防护规则，报文能够绕过边界安全产品的检
                2.1 边界安全产品防护挑战                                   测，从而实现对内部数据库的访问攻击等。边界安全产品控制
                边界安全产品部署在安全域边界上，用于防御外部网络对                        访问外网，允许内部用户访问正常服务，禁止内部服务访问未
            内部网络进行攻击渗透，或安全域内部网络向外部泄露敏感信                          知服务。
              图4 SRv6 HMAC校验





























                                                       网络电信 二零二三年四月                                            27