运营商专栏

              图5 边界安全产品防护挑战
             表2 A-A截面相邻绞合元件间间隙实例


























                攻击者封装SRv6报文，将未知服务地址F隐藏到SRv6段列                    文头对内层报文进行入侵检测。开源IPS/IDS系统Snort已增加
            表，报文头目的地址是正常服务的地址E。由于报文头中的地址                         SRv6报文识别和解分组模块，对SRv6流量首先解除  SRv6  报文
            符合安全防护规则，报文能够绕过边界安全产品检测，实现数                          头再分析内层报文，可为商业IPS/IDS产品提供参考。
            据窃取和非法网站访问等。此外，入侵检测类安全产品经常会                              2.2.2.2 SRv6 最后一跳检测
            结合报文五元组信息和报文负载特征识别入侵行为，识别到带                              SRv6报文将最终的目的地址隐藏在SRv6段列表最后一跳。
            有风险的五元组信息再进行深入细致的入侵检测。攻击者能够                          IPS/IDS产品需要增加SRv6报文识别能力，识别出SRv6段列表
            通过隐藏真实目的地址，成功躲避入侵检测产品的进一步检测。                         内最后一跳SRv6地址，将其地址作为目的地址进行入侵检测分
                2.2 边界安全产品防护建议                                   析，有效识别网络攻击。
                2.2.1 防火墙SRv6防护技术
                网络区域边界部署大量防火墙用于保护内部网络，防火墙                            三、结束语
            需根据内网是否使用SRv6技术提供不同的SRv6网络安全防护能力。                        本文分析SRv6源路由威胁，研究以SRv6信任域为基础的
                2.2.1.1 SRv6报文过滤技术                               源路由防护技术，简化SRv6源路由威胁防护，并支持根据SRv6
                在内部网络未使用SRv6技术的区域边界，防火墙需要能                       网络特征和安全要求等级灵活选择防护技术，保护SRv6网络安
            够防止  SRv6  源路由攻击进入内网，避免内部网络访问不安全                     全。SRv6技术将真实目的地址隐藏到SRv6段列表内，给基于报
            外网。防火墙应支持SRv6协议，能够识别SRv6报文，检测进出                      文五元组信息进行防护的边界安全产品带来挑战。本文对网络
            网络边界的流量，丢弃SRv6报文，避免SRv6源路由攻击进入内                      中应用最为广泛的防火墙、入侵检测设备提出SRv6升级防护技
            网，避免内部网络 访问不安全外网和泄露敏感信息等。                            术建议和参考。随着SRv6技术在网络中的建设部署和SRv6技术
                2.2.1.2 SRv6信任域防护                                应用场景的不断扩展，SRv6技术给网络带来的安全风险和相应
                在内部网络使用SRv6技术的区域边界，防火墙需要能够                       的安全防护技术还需进一步的研究和验证。
            支持SRv6信任域边界过滤和SRv6跨域边界过滤策略，实现源路
            由攻击防护。防火墙需要支持SRv6协议，能够丢弃目的地址
            是  SRv6信任域内SRv6地址的报文，避免源路由威胁进入SRv6信
                                                                 参考文献
            任域。SRv6跨域互通流量时，防火墙需要能够允许目的地址是
                                                                 [1]  IETF.  Internet  protocol,  version  6  (IPv6)  specification:
            SRv6  Binding  SID地址的SRv6报文进入SRv6信任域，丢弃其它               RFC8200[S]. 2020.
            目的地址在 SRv6信任域地址范围内的 SRv6报文。                          [2]  李树军,  蔡长安.  IPv6源路由机制安全性分析与攻击技术研  究
                2.2.2 IPS/IDS SRv6 防护技术                             [J]. 成都大学学报(自然科学版)，2010(3).
                                                                 [3] IETE. RFC8754: IPv6 segment routing header[S]. 2020.
                IPS/IDS  通常部署在网络边界，与防火墙配合工作，防火                   [4]  ZHOU  J,  LI  H  W,  WU  Q.  SR-TPP:  extending  IPv6  segment
            墙实现对外部攻击的过滤隔离，IPS/IDS 实现 对攻击流量的深                        routing  to  enable  trusted  and  private  network
                                                                    paths[C]//2020  IEEE  Symposium  on  Computers  and
            度检测。IPS/IDS的SRv6网络安全防护，主要是需要能够针对
                                                                    Communications. France，2020:7-10.
            SRv6报文的真正目的地址实现入侵检测，有的是SRv6隧道内部                        [5]  AHMED  A,  STEFANO  S,  FRANCOIS  C.  SR-Snort:  IPv6  segment
            的私网地址，有的是SRv6段列表内隐藏的最后一跳SRv6地址。                         routing aware IDS/IPS[C]//2018 IEEE Conference on Network
                                                                    Function  Virtualization  and  Software  Defined  Networks.
                2.2.2.1 SRv6 内层报文检测
                                                                    Italy, 2018: 27-29
                IPS/IDS产品需要增加  SRv6报文识别能力，跳过SRv6报
            28                                         网络电信 二零二三年四月