CN113691650B - IPv4/IPv6无状态分段安全映射方法及控制系统 - Google Patents

IPv4/IPv6无状态分段安全映射方法及控制系统 Download PDF

Info

Publication number
CN113691650B
CN113691650B CN202111224888.3A CN202111224888A CN113691650B CN 113691650 B CN113691650 B CN 113691650B CN 202111224888 A CN202111224888 A CN 202111224888A CN 113691650 B CN113691650 B CN 113691650B
Authority
CN
China
Prior art keywords
ipv4
ipv6
address
mapping
stateless
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111224888.3A
Other languages
English (en)
Other versions
CN113691650A (zh
Inventor
王桥倩
韩国梁
包丛笑
李星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Indirect Network Technology Co ltd
Original Assignee
Beijing Indirect Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Indirect Network Technology Co ltd filed Critical Beijing Indirect Network Technology Co ltd
Priority to CN202111224888.3A priority Critical patent/CN113691650B/zh
Publication of CN113691650A publication Critical patent/CN113691650A/zh
Application granted granted Critical
Publication of CN113691650B publication Critical patent/CN113691650B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/251Translation of Internet protocol [IP] addresses between different IP versions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种IPv4/IPv6无状态分段安全映射方法及控制系统,通过配置IPv4服务侧翻译网关,并在所述翻译网关中构建默认的IPv4白名单分区/IPv4黑名单分区和IPv4/IPv6无状态分段安全映射表;构建具备IPv4服务器地址信息的IPv6地址;通过所述翻译网关接收IPv6分组数据,并根据所述IPv4/IPv6无状态分段安全映射算法对所述IPv6分组数据进行映射匹配,获取翻译后的IPv4分组地址并发送至所述IPv4服务器。本发明能够将不同的IPv6地址范围按需映射到不同的安全分区,实现IPv4/IPv6正常翻译和访问,以及对异常攻击用户的安全隔离起到有效隔离和防护作用。

Description

IPv4/IPv6无状态分段安全映射方法及控制系统
技术领域
本公开涉及网络应用技术领域,尤其涉及一种IPv4/IPv6无状态分段安全映射方法及控制系统。
背景技术
IPv6是下一代互联网的必然方向,但是IPv4和IPv6并不兼容。在IPv4和IPv6共存阶段,越来越多的存量IPv4服务器需要支持IPv6用户访问。目前实现IPv6用户访问IPv4服务器的技术主要分为两类:双栈技术和翻译技术。
双栈技术思路是将IPv4服务器改造为IPv4/IPv6双栈,IPv6用户可直接访问升级后的服务器的IPv6地址。但是从IPv4系统升级为IPv4/IPv6双栈系统,相关的业务系统都需要升级到支持IPv6,同时需要对IPv4用户和IPv6用户进行统一的管理,研发和运维的成本很高。同时运行IPv4/IPv6双栈系统带来了额外的安全风险,病毒可以一部分从IPv4进入,一部分从IPv6进入,在内部完成组合,防不胜防,破坏了原有IPv4的安全等级。
翻译技术的思路是IPv4服务器不做任何改动,在网络出口部署翻译设备或者翻译服务,用翻译设备或服务的IPv4/IPv6翻译功能,来实现IPv6用户对IPv4服务的访问。翻译技术包括网络层翻译技术和应用层翻译技术。
应用层翻译技术:用代理实现IPv6用户对IPv4服务访问,IPv6用户以翻译器的IPv4地址向IPv4服务发起访问,IPv4服务器无法得到IPv6用户的真实地址,且无法支持加密和私有应用。对于HTTPS应用,需要劫持证书,带来额外的安全隐患。
网络层翻译技术将IPv6用户地址映射到一个IPv4地址,实现IPv6用户访问IPv4服务器。网络层翻译技术又包括有状态翻译技术和无状态翻译技术。有状态翻译技术:需要保存、跟踪、查找所有连接状态,开销大,存在性能瓶颈,且由于动态映射特性,溯源困难。无状态翻译技术:静态映射使得性能高、安全性好且有很好的实时可溯源性。
在公开号CN103856580B“一种IPv6客户机访问IPv4服务器的方法”的专利中,提出一种无状态的IPv4/IPv6翻译算法,将所有IPv6地址通过一个静态映射的函数,可以映射到一个IPv4地址池中。由于IPv4/IPv6映射是静态的,所以现有的IPv4的防火墙可以通过IPv4/IPv6映射查询,配置相应的IPv4防护规则,来防护来自IPv6互联网的流量。例如,IPv6地址A在对IPv4服务器进行慢速攻击,而IPv6地址A在上述算法中总是映射到IPv4地址B,因而IPv4防火墙可以直接在防护规则中配置拦截IPv4地址B的规则,就相当于阻止了IPv6地址A的扫描和攻击。由于IPv6协议灵活多变,现有的IPv6安全设施和防火墙并不完善,而IPv4安全设施和防火墙现在已经非常完善,因此通过IPv4的防火墙来防护IPv6流量的思路可以保证用户的网络和服务与原有IPv4的安全等保级别严格保持一致,保护数据和隐私不被窃取和攻击。
但是,上述安全模型在理论上有一个安全风险,即,万一如果有两个或多个IPv6地址(包括实施攻击的那个IPv6地址)被上述算法映射到同一个被IPv4防火墙过滤的IPv4地址,那么没有进行攻击的那个(或那些)IPv6地址就会无法访问IPv4服务,造成少量场景的服务不可用。尽管出现概率极低,但是仍然需要有技术去解决无状态IPv4/IPv6翻译场景下的上述安全风险。
发明内容
有鉴于此,本公开提出了一种IPv4/IPv6无状态分段安全映射方法及控制系统,通过创建安全相关的IPv4白名单分区/IPv4黑名单分区,新建若干映射规则,将不同的IPv6地址范围按需映射到不同的安全分区,从而实现正常用户的IPv4/IPv6正常翻译和访问,以及对异常攻击用户的安全隔离,起到有效隔离和防护作用。所有的映射仍然是无状态静态映射,因此仍然保持了无状态翻译技术的高性能、安全性好和良好的溯源性。上述映射规则可以接受互联网安全库、安全设备、防火墙等安全识别数据,实现动态的控制和调整。
根据本公开的一方面,提供了一种IPv4/IPv6无状态分段安全映射方法,包括如下步骤:
S1、配置IPv4服务侧翻译网关,并在所述翻译网关中构建默认的IPv4白名单分区/IPv4黑名单分区和IPv4/IPv6无状态分段安全映射表;
S2、构建具备IPv4服务器地址信息的IPv6地址,配置并发布对应的DNS AAAA记录;
S3、IPv6客户机通过DNS服务器请求所述DNS AAAA记录,返回并发布IPv6分组数据;
S4、通过所述翻译网关接收所述IPv6分组数据,并根据所述IPv4/IPv6无状态分段安全映射算法对所述IPv6分组数据进行映射匹配,获取翻译后的IPv4分组地址并发送至所述IPv4服务器。
在一种可能的实现方式中,可选地,在步骤S1中,所述配置IPv4服务侧翻译网关,并在所述翻译网关中构建默认的IPv4白名单分区/IPv4黑名单分区和IPv4/IPv6无状态分段安全映射表,包括:
预设IPv4白名单分区数量和IPv4黑名单分区数量以及第一预设配置参数,根据第一预设配置参数,构建并配置相应的IPv4白名单分区和IPv4黑名单分区,并对应配置地址范围不重叠的IPv4白名单地址范围和IPv4黑名单地址范围;
预设IPv6客户机地址范围,包括IPv6白名单的地址范围和IPv6黑名单的地址范围,根据第二预设配置参数,构建并配置IPv4/IPv6无状态分段安全映射表,将不同的所述IPv6客户机地址范围根据所述IPv4/IPv6无状态分段安全映射表映射到不同的IPv4白名单地址范围和IPv4黑名单地址范围。
在一种可能的实现方式中,可选地,在步骤S2中,所述构建具备IPv4服务器地址信息的IPv6地址,配置并发布对应的DNS AAAA记录,包括:
根据RFC6052协议选择IPv6前缀及长度;
将所述IPv4服务器地址嵌入所述IPv6前缀,并构成IPv6地址;
通过所述DNS服务器配置并发布对应的所述DNSAAAA记录。
在一种可能的实现方式中,可选地,在步骤S4中,所述通过所述翻译网关接收所述IPv6分组数据,并根据所述IPv4/IPv6无状态分段安全映射算法对所述IPv6分组数据进行映射匹配,获取翻译后的IPv4分组地址并发送至所述IPv4服务器,包括:
通过所述翻译网关接收第一类IPv6分组;
判断所述第一类IPv6分组的源地址是否匹配所述IPv4/IPv6无状态分段安全映射表中已存在的映射记录,如果是,则
获得第一类IPv4分组,并发送至所述IPv4服务器。
在一种可能的实现方式中,可选地,还包括:
通过所述翻译网关接收第一类IPv6分组;
判断所述第一类IPv6分组的源地址是否匹配所述IPv4/IPv6无状态分段安全映射表中已存在的映射记录,如果否,则
对所述第一类IPv6分组的源地址进行无状态分段安全映射,获取映射记录,并将映射记录写入所述IPv4/IPv6无状态分段安全映射表中;根据所述映射记录获得第一类IPv4分组,并发送至所述IPv4服务器。
在一种可能的实现方式中,可选地,还包括:
通过所述IPv4服务器接收所述第一类IPv4分组;
对所述第一类IPv4分组进行处理,获得第二类IPv4分组;
接收所述第二类IPv4分组,并发送到所述翻译网关。
在一种可能的实现方式中,可选地,还包括:
通过所述翻译网关接收所述第二类IPv4分组;
检查所述第二类IPv4分组的目的地址是否匹配所述IPv4/IPv6无状态分段安全映射表中已存在的映射记录,如果是,则
根据所述该项IPv4/IPv6无状态分段安全映射表项记录进行映射,得到并发送第二类IPv6分组给所述IPv6客户机。
在一种可能的实现方式中,可选地,还包括:
在所述IPv4黑名单分区中增加IPv4黑名单地址,以及对应在IPv6黑名单的地址范围内增加IPv6黑名单地址;
获取带外疑似有安全风险的IPv6客户机的映射后IPv4地址,并将所述带外攻击的映射后IPv4地址根据所述IPv4/IPv6无状态分段安全映射表进行查询,获取对应的IPv6地址或其所在子网,形成黑名单隔离分区的IPv6/IPv4无状态映射表项;
在已有的IPv4/IPv6无状态分段安全映射表中查询是否包含上述映射表项,如果否则将所述黑名单隔离分区的IPv6/IPv4无状态映射表项添加到所述IPv4/IPv6无状态分段安全映射表;否则丢弃。
在一种可能的实现方式中,可选地,还包括:
在所述IPv6黑名单的地址范围内增加IPv6黑名单地址,以及对应在所述IPv4黑名单分区中增加IPv4黑名单地址;
获取带外疑似有安全风险的IPv6地址或IPv6子网,并将所述带外疑似有安全风险的IPv6地址或IPv6子网根据所述IPv4/IPv6无状态分段安全映射表进行映射,获取IPv4地址映射结果,形成黑名单隔离分区的IPv6/IPv4无状态映射表项;
在已有的IPv4/IPv6无状态分段安全映射表中查询是否包含上述映射表项,如果否则将所述黑名单隔离分区的IPv6/IPv4无状态映射表项添加到所述IPv4/IPv6无状态分段安全映射表;否则丢弃。
在一种可能的实现方式中,可选地,还包括:
在所述IPv6白名单的地址范围内增加IPv6白名单地址分区,以及对应在所述IPv4白名单地址范围中增加IPv4白名单地址分区;
将新增IPv6白名单地址分区中的IPv6地址范围,与新增IPv4白名单地址分区中的IPv4地址范围进行静态映射,形成一条新的白名单IPv6/IPv4安全映射规则,并添加到IPv4/IPv6无状态分段安全映射表中;
重复上述步骤并获得多条IPv6/IPv4安全映射规则,通过所述多条IPv6/IPv4安全映射规则在所述IPv4白名单地址范围内实现多个不同安全等级的IPv4白名单安全分区,且与IPv4黑名单分区一起,形成完备的多安全等级IPv4/IPv6映射规则簇。
根据本公开的另一方面,提供了一种控制系统,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现上述所述的IPv4/IPv6无状态分段安全映射方法。
本申请的技术效果:
本发明通过配置IPv4服务侧翻译网关,并在所述翻译网关中构建默认的IPv4白名单分区/IPv4黑名单分区和IPv4/IPv6无状态分段安全映射表;构建具备IPv4服务器地址信息的IPv6地址,配置并发布对应的DNS AAAA记录;IPv6客户机通过DNS服务器请求所述DNSAAAA记录,返回并发布IPv6分组数据;通过所述翻译网关接收所述IPv6分组数据,并根据所述IPv4/IPv6无状态分段安全映射算法对所述IPv6分组数据进行映射匹配,获取翻译后的IPv4分组地址并发送至所述IPv4服务器。能够根据需求,新建若干映射规则,将不同的IPv6地址范围按需映射到不同的安全分区,从而实现正常用户的IPv4/IPv6正常翻译和访问,以及对异常攻击用户的安全隔离,起到有效隔离和防护作用。所有的映射仍然是无状态静态映射,因此仍然保持了无状态翻译技术的高性能、安全性好和良好的溯源性。上述映射规则可以接受互联网安全库、安全设备、防火墙等安全识别数据,实现动态的控制和调整。
本发明提供自定义的溯源功能,可以指定溯源查询范围,就可以根据IPv4/IPv6无状态分段安全映射表查询其所在的黑名单/白名单范围,包括IPv4地址范围和IPv6地址范围的粗粒度匹配,以及准确查询IPv6地址的精确匹配。出于其无状态特性,实现实时级别的溯源查询性能。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出为本发明IPv4/IPv6无状态分段安全映射方法的实施流程示意图;
图2示出为本发明映射系统的组成示意图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
实施例1
如图1和2所示,公开了一种IPv4/IPv6无状态分段安全映射方法,包括如下步骤:
S1、配置IPv4服务侧翻译网关,并在所述翻译网关中构建默认的IPv4白名单分区/IPv4黑名单分区和IPv4/IPv6无状态分段安全映射表;
本处需要对翻译网关进行参数配置,使得翻译网关可以正常完成IPv4/IPv6无状态翻译,并且可以针对白名单和黑名单的IPv6地址进行分区,映射到不同的IPv4地址分区,以便IPv4安全设备采取相应的安全策略;
首先根据需求,预设IPv4白名单分区数量N1和IPv4黑名单分区数量N2,根据所述预设配置参数,配置相应的IPv4白名单分区和IPv4黑名单分区,并对应彼此不重叠的IPv4地址范围;
然后预设IPv6客户机地址范围,包括IPv6白名单的地址范围和IPv6黑名单的地址范围,根据所述预设配置参数,配置IPv4/IPv6无状态分段安全映射表,将不同的IPv6客户机地址范围映射到不同的IPv4白名单地址范围和IPv4黑名单地址范围。
本处,IPv4白名单分区/IPv4黑名单分区中的地址是可以由用户进行预先设定好的地址;在安全防御系统安全的情形下,也可以选择黑名单分区中的地址是空白地址,用用户实施决定,不做限制。
S2、构建具备IPv4服务器地址信息的IPv6地址,配置并发布对应的DNS AAAA记录;
首先,通过IPv4服务器向DNS服务器进行AAAA记录的发送,使得IPv6客户机可以向DNS服务器请求获取来自所述IPv4服务器的AAAA记录;
其次,根据RFC6052选择IPv6前缀及长度,把公网IPv4服务器地址嵌入IPv6前缀,构成IPv6地址,配置对应的DNS的AAAA记录,然后将记录并发布DNS服务器。
S3、IPv6客户机通过DNS服务器请求所述DNS AAAA记录,返回并发布IPv6分组数据;
IPv6互联网中的IPv6客户机向DNS服务器请求IPv4服务器的AAAA记录,DNS服务器返回此IPv4服务器的AAAA记录给IPv6客户机,IPv6客户机发送IPv6分组数据;
S4、通过所述翻译网关接收所述IPv6分组数据,并根据所述IPv4/IPv6无状态分段安全映射算法对所述IPv6分组数据进行映射匹配,获取翻译后的IPv4分组地址并发送至所述IPv4服务器。
如图2所示,翻译网关接收第一类IPv6分组,首先判断IPv6分组的源地址是否与某项已存在的IPv4/IPv6无状态分段安全映射表项记录匹配,即判断IPv6分组的源地址与所述IPv4/IPv6无状态分段安全映射表中已存在且对应IPv6分组的源地址的映射记录是否匹配。如果是,则按照该表项进行映射,得到第一类IPv4分组,并发送至所述IPv4服务器;如果否,则对所述第一类IPv6分组的源地址进行无状态分段安全映射,即,对预设的IPv6白名单地址范围和IPv6黑名单地址范围,用某种方式进行遍历,判断IPv6分组的源地址属于某个IPv6白名单地址范围或者某个IPv6黑名单地址范围,进而通过静态单向映射函数的方式,将其映射到对应的某个IPv4白名单地址范围或某个IPv4黑名单地址范围,并将映射记录写入IPv4/IPv6无状态分段安全映射表中;根据所述映射记录获得第一类IPv4分组,并发送至所述IPv4服务器;IPv4服务器其后对第一类IPv4分组分组进行处理,产生并发送第二类IPv4分组到翻译网关;翻译网关收到第二类IPv4分组,检查第二类IPv4分组目的地址是否匹配某项已存在的IPv4/IPv6无状态分段安全映射表项记录,如果是,则根据匹配规则进行映射,得到第二类IPv6分组并发送给IPv6客户机。
用户可以通过某种带外的方式,如入侵检测系统、安全防火墙安全日志等方式,获取到有疑似攻击行为的IPv6地址或者映射后的IPv4地址,可以输入到翻译网关中,在IPv4黑名单分段中增加IPv4黑名单地址,以及在对应的IPv6黑名单分段增加IPv6黑名单地址,从而可以避免其他合法的IPv6地址映射到该IPv4黑名单地址分段。
为了更好的安全管理,用户可以增加IPv6白名单地址分段和对应的IPv4白名单地址分段,以使得不同IPv6白名单范围的地址可以映射到不同的IPv4白名单范围。
需要说明的是,尽管以IPv6-IPv4方向的地址映射作为示例介绍了配置方式如上,但本领域技术人员能够理解,本公开应不限于此,本申请在IPv4/IPv6之间的每个映射方向上都可以进行转换翻译处理。对各个安全分段映射表实施的映射算法等,可以由用户进行选择。事实上,用户完全可根据个人喜好和/或实际应用场景灵活设定对应的安全分段映射表,只要按照本思路进行映射和安全分段即可。
IPv4/IPv6无状态分段安全映射表的实现算法、IPv4白名单分区的数量、IPv4黑名单分区的数量、各个安全分区包含的IPv4/IPv6地址数量、翻译网关配置界面的实现方式、翻译网关设备部署位置、安全分区的动态调整数据源和接口方式等具体实施方式,可以由用户根据项目需求和定制,进行选择性应用,本发明不进行限定。
此外,翻译网关作为IPv4服务器和IPv6客户机之间的互联互通中枢,可以根据设定实现从IPv4服务器到IPv6客户机的翻译,也可以实现从IPv6客户机到IPv4服务器的翻译,对应的设定/修改映射规则即可。
这样,通过配置IPv4服务侧翻译网关,并在所述翻译网关中构建默认的IPv4白名单分区/IPv4黑名单分区和IPv4/IPv6无状态分段安全映射表;构建具备IPv4服务器地址信息的IPv6地址,配置并发布对应的DNS AAAA记录;IPv6客户机通过DNS服务器请求所述DNSAAAA记录,返回并发布IPv6分组数据;通过所述翻译网关接收所述IPv6分组数据,并根据所述IPv4/IPv6无状态分段安全映射算法对所述IPv6分组数据进行映射匹配,获取翻译后的IPv4分组地址并发送至所述IPv4服务器。能够根据需求,新建若干映射规则,将不同的IPv6地址范围按需映射到不同的安全分区,从而实现正常用户的IPv4/IPv6正常翻译和访问,以及对异常攻击用户的安全隔离,起到有效隔离和防护作用。所有的映射仍然是无状态静态映射,因此仍然保持了无状态翻译技术的高性能、安全性好和良好的溯源性。上述映射规则可以接受互联网安全库、安全设备、防火墙等安全识别数据,实现动态的控制和调整。
本发明提供自定义的溯源功能,可以指定溯源查询范围,就可以根据IPv4/IPv6无状态分段安全映射表查询其所在的黑名单/白名单范围,包括IPv4地址范围和IPv6地址范围的粗粒度匹配,以及准确查询IPv6地址的精确匹配。出于其无状态特性,实现实时级别的溯源查询性能。
如图2所示,在一种可能的实现方式中,可选地,在步骤S1中,所述配置IPv4服务侧翻译网关,并在所述翻译网关中构建默认的IPv4白名单分区/IPv4黑名单分区和IPv4/IPv6无状态分段安全映射表,包括:
预设IPv4白名单分区数量和IPv4黑名单分区数量以及,根据第一预设配置参数,构建并配置相应的IPv4白名单分区和IPv4黑名单分区,并对应配置彼此不重叠的IPv4白名单地址范围和IPv4黑名单地址范围;
预设IPv6客户机地址范围,包括IPv6白名单的地址范围和IPv6黑名单的地址范围,根据第二预设配置参数,构建并配置IPv4/IPv6无状态分段安全映射表,将不同的所述IPv6客户机地址范围根据所述IPv4/IPv6无状态分段安全映射表映射到不同的IPv4白名单地址范围和IPv4黑名单地址范围。
本实施例,第一预设配置参数和第二预设配置参数,可以包含对应的地址范围值、字段、分区名单数量等等,以及IPv4白名单分区数量和IPv4黑名单分区数量,可以由用户进行选择性设定,不做限制。其中,IPv6黑名单的地址范围初始值可以是空。
将不同的所述IPv6客户机地址范围根据所述IPv4/IPv6无状态分段安全映射表映射到不同的IPv4白名单地址范围和IPv4黑名单地址范围的具体实施流程见上述S4所述,本处不再赘述。
IPv4白名单地址范围和IPv4黑名单地址范围彼此不重叠,黑白名单的映射记录分别记录,在实现正常用户的IPv4/IPv6正常翻译和访问的同时,可以对异常攻击用户的安全隔离起到有效隔离和防护作用。
在一种可能的实现方式中,可选地,在步骤S2中,所述构建具备IPv4服务器地址信息的IPv6地址,配置并发布对应的DNS AAAA记录,包括:
根据RFC6052协议选择IPv6前缀及长度;
将所述IPv4服务器地址嵌入所述IPv6前缀,并构成IPv6地址;
通过所述DNS服务器配置并发布对应的所述DNSAAAA记录。
在一种可能的实现方式中,可选地,在步骤S4中,所述通过所述翻译网关接收所述IPv6分组数据,并根据所述IPv4/IPv6无状态分段安全映射算法对所述IPv6分组数据进行映射匹配,获取IPv6分组地址并发送至所述IPv6客户机,包括:
通过所述翻译网关接收第一类IPv6分组;
判断所述第一类IPv6分组的源地址是否匹配所述IPv4/IPv6无状态分段安全映射表中已存在的映射记录,如果是,则
获得第一类IPv4分组,并发送至所述IPv4服务器。
通过配置IPv4/IPv6无状态分段安全映射表,可以支持自定义IPv6/IPv4地址映射规则,可以根据需求将具有某个行为特征的IPv6地址映射到指定的IPv4地址,同时保证其他IPv6地址不会映射到此指定的IPv4,防止发生映射冲突。
在一种可能的实现方式中,可选地,还包括:
通过所述翻译网关接收第一类IPv6分组;
判断所述第一类IPv6分组的源地址是否匹配所述IPv4/IPv6无状态分段安全映射表中已存在的映射记录,如果否,则
对所述第一类IPv6分组的源地址进行无状态分段安全映射,获取映射记录,并将映射记录写入所述IPv4/IPv6无状态分段安全映射表中;根据所述映射记录获得第一类IPv4分组,并发送至所述IPv4服务器。
对所述第一类IPv6分组的源地址进行无状态分段安全映射,即,对预设的IPv6白名单地址范围和IPv6黑名单地址范围,用某种方式进行遍历,判断IPv6分组的源地址属于某个IPv6白名单地址范围或者某个IPv6黑名单地址范围,进而通过静态单向映射函数的方式,将其映射到对应的某个IPv4白名单地址范围或某个IPv4黑名单地址范围,并将映射记录写入IPv4/IPv6无状态分段安全映射表中;根据所述映射记录获得第一类IPv4分组,并发送至所述IPv4服务器。
在一种可能的实现方式中,可选地,还包括:
通过所述IPv4服务器接收所述第一类IPv4分组;
对所述第一类IPv4分组进行处理,获得第二类IPv4分组;
接收所述第二类IPv4分组,并发送到所述翻译网关。
在一种可能的实现方式中,可选地,还包括:
通过所述翻译网关接收所述第二类IPv4分组;
检查所述第二类IPv4分组的目的地址是否匹配所述IPv4/IPv6无状态分段安全映射表中已存在的映射记录,如果是,则
根据所述IPv4/IPv6自定义地址映射规则表进行映射,得到并发送第二类IPv6分组给所述IPv6客户机。
在一种可能的实现方式中,可选地,还包括:
在所述IPv4黑名单分区中增加IPv4黑名单地址,以及对应在IPv6黑名单的地址范围内增加IPv6黑名单地址;
获取带外疑似有安全风险的IPv6客户机的映射后IPv4地址,并将所述带外攻击的映射后IPv4地址根据所述IPv4/IPv6无状态分段安全映射表进行查询,获取对应的IPv6地址或其所在子网,形成黑名单隔离分区的IPv6/IPv4无状态映射表项;
在已有的IPv4/IPv6无状态分段安全映射表中查询是否包含上述映射表项,如果否则将所述黑名单隔离分区的IPv6/IPv4无状态映射表项添加到所述IPv4/IPv6无状态分段安全映射表;否则丢弃。
在一种可能的实现方式中,可选地,还包括:
在所述IPv6黑名单的地址范围内增加IPv6黑名单地址,以及对应在所述IPv4黑名单分区中增加IPv4黑名单地址;
获取带外疑似有安全风险的IPv6地址或IPv6子网,并将所述带外疑似有安全风险的IPv6地址或IPv6子网根据所述IPv4/IPv6无状态分段安全映射表进行映射,获取IPv4地址映射结果,形成黑名单隔离分区的IPv6/IPv4无状态映射表项;
在已有的IPv4/IPv6无状态分段安全映射表中查询是否包含上述映射表项,如果否则将所述黑名单隔离分区的IPv6/IPv4无状态映射表项添加到所述IPv4/IPv6无状态分段安全映射表;否则丢弃。
用户通过某种带外的方式,如入侵检测系统、安全防火墙安全日志等方式,获取到有疑似攻击行为的IPv6地址或者映射后的IPv4地址,可以输入到翻译网关中,在IPv4黑名单分区中增加IPv4黑名单地址,以及在对应的IPv6黑名单分区增加IPv6黑名单地址,从而可以避免其他合法的IPv6地址映射到该IPv4黑名单地址。
在一种可能的实现方式中,可选地,还包括:
在所述IPv6白名单的地址范围内增加IPv6白名单地址分区,以及对应在所述IPv4白名单地址范围中增加IPv4白名单地址分区;
将新增IPv6白名单地址分区中的IPv6地址范围,与新增IPv4白名单地址分区中的IPv4地址范围进行静态映射,形成一条新的白名单IPv6/IPv4安全映射规则,并添加到IPv4/IPv6无状态分段安全映射表中;
重复上述步骤并获得多条IPv6/IPv4安全映射规则,通过所述多条IPv6/IPv4安全映射规则在所述IPv4白名单地址范围内实现多个不同安全等级的IPv4白名单安全分区,且与IPv4黑名单分区一起,形成完备的多安全等级IPv4/IPv6映射规则簇。
多条IPv6/IPv4安全映射规则可在白名单IPv4地址范围内实现多个不同安全等级的IPv4白名单安全分区,与IPv4黑名单分区一起,形成完备的多安全等级IPv4/IPv6映射规则簇,方便IPv4网络中的安全设备,如防火墙、入侵检测系统等,对不同来源的IPv6报文实现安全等级的区分和差异化安全处理。
通过本实施例,可以通过新建若干映射规则,将不同的IPv6地址范围按需映射到不同的安全分区,从而实现正常用户的IPv4/IPv6正常翻译和访问,以及对异常攻击用户的安全隔离,起到有效隔离和防护作用。所有的映射仍然是无状态静态映射,因此仍然保持了无状态翻译技术的高性能、安全性好和良好的溯源性。
例如当发生IPv6攻击时,网络管理员首先得到IPv6攻击源地址映射后的IPv4地址,然后在IPv4防火墙上配置相应的安全策略以防御攻击。在将该IPv4地址输入IPv4/IPv6无状态分段安全映射系统后,该IPv4地址和相应的IPv6地址均被放入黑名单地址范围,因此在任何情况下,其他合法的IPv6地址都不会映射到此IPv4地址,从而保障IPv6用户正常访问和IPv4服务的正常发布。
本发明提供自定义的溯源功能,可以指定溯源查询范围,就可以根据IPv4/IPv6无状态分段安全映射表查询其所在的黑名单/白名单范围,包括IPv4地址范围和IPv6地址范围的粗粒度匹配,以及准确查询IPv6地址的精确匹配。出于其无状态特性,实现实时级别的溯源查询性能。
实施例2
更进一步地,根据本公开的另一方面,还提供了一种控制系统。
本公开实施例控制系统包括处理器以及用于存储处理器可执行指令的存储器。其中,处理器被配置为执行可执行指令时实现前面任一所述的IPv4/IPv6无状态分段安全映射方法。
此处,应当指出的是,处理器的个数可以为一个或多个。同时,在本公开实施例的控制系统中,还可以包括输入装置和输出装置。其中,处理器、存储器、输入装置和输出装置之间可以通过总线连接,也可以通过其他方式连接,此处不进行具体限定。
存储器作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序和各种模块,如:本公开实施例的一种IPv4/IPv6无状态分段安全映射方法所对应的程序或模块。处理器通过运行存储在存储器中的软件程序或模块,从而执行控制系统的各种功能应用及数据处理。
输入装置可用于接收输入的数字或信号。其中,信号可以为产生与设备/终端/服务器的用户设置以及功能控制有关的键信号。输出装置可以包括显示屏等显示设备。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims (10)

1.一种IPv4/IPv6无状态分段安全映射方法,其特征在于,包括如下步骤:
S1、配置IPv4服务侧翻译网关,并在所述翻译网关中构建默认的IPv4白名单分区/IPv4黑名单分区和IPv4/IPv6无状态分段安全映射表,包括:
根据预设配置参数,配置相应的IPv4白名单分区和IPv4黑名单分区,并对应配置地址范围不重叠的IPv4白名单地址范围和IPv4黑名单地址范围;预设IPv6客户机地址范围,包括IPv6白名单的地址范围和IPv6黑名单的地址范围,根据所述预设配置参数,配置IPv4/IPv6无状态分段安全映射表,将不同的IPv6客户机地址范围映射到不同的IPv4白名单地址范围和IPv4黑名单地址范围;针对白名单和黑名单的IPv6地址进行分区,映射到不同的IPv4地址分区,以便IPv4安全设备采取相应的安全策略;
S2、构建具备IPv4服务器地址信息的IPv6地址,配置并发布对应的DNS AAAA记录;
S3、IPv6客户机通过DNS服务器请求所述DNS AAAA记录,返回并发布IPv6分组数据;
S4、通过所述翻译网关接收所述IPv6分组数据,并根据所述IPv4/IPv6无状态分段安全映射算法对所述IPv6分组数据进行映射匹配,包括:
判断IPv6分组的源地址与所述IPv4/IPv6无状态分段安全映射表中已存在且对应IPv6分组的源地址的映射记录是否匹配:如果是,则按照该表项进行映射,得到第一类IPv4分组,并发送至所述IPv4服务器;如果否,则对所述IPv6分组的源地址进行无状态分段安全映射,对预设的IPv6白名单地址范围和IPv6黑名单地址范围进行遍历,判断IPv6分组的源地址属于某个IPv6白名单地址范围或者某个IPv6黑名单地址范围,通过静态单向映射函数的方式,将其映射到对应的某个IPv4白名单地址范围或某个IPv4黑名单地址范围,并将映射记录写入IPv4/IPv6无状态分段安全映射表中;
获取翻译后的IPv4分组地址并发送至所述IPv4服务器;
还包括:
获取溯源查询地址,根据IPv4/IPv6无状态分段安全映射表,查询溯源查询地址所在的黑名单/白名单范围,进行IPv4地址范围和IPv6地址范围的粗粒度匹配,匹配查询获得IPv6溯源地址。
2.根据权利要求1所述的IPv4/IPv6无状态分段安全映射方法,其特征在于,在步骤S1中,所述配置IPv4服务侧翻译网关,并在所述翻译网关中构建默认的IPv4白名单分区/IPv4黑名单分区和IPv4/IPv6无状态分段安全映射表,包括:
预设IPv4白名单分区数量和IPv4黑名单分区数量以及第一预设配置参数,根据第一预设配置参数,构建并配置相应的IPv4白名单分区和IPv4黑名单分区,并对应配置彼此不重叠的IPv4白名单地址范围和IPv4黑名单地址范围;
预设IPv6客户机地址范围,包括IPv6白名单的地址范围和IPv6黑名单的地址范围,根据第二预设配置参数,构建并配置IPv4/IPv6无状态分段安全映射表,将不同的所述IPv6客户机地址范围根据所述IPv4/IPv6无状态分段安全映射表映射到不同的IPv4白名单地址范围和IPv4黑名单地址范围。
3.根据权利要求1或2所述的IPv4/IPv6无状态分段安全映射方法,其特征在于,在步骤S1中,所述构建具备IPv4服务器地址信息的IPv6地址,配置并发布对应的DNS AAAA记录,包括:
根据RFC6052协议选择IPv6前缀及长度;
将所述IPv4服务器地址嵌入所述IPv6前缀,并构成IPv6地址;
通过所述DNS服务器配置并发布对应的所述DNSAAAA记录。
4.根据权利要求3所述的IPv4/IPv6无状态分段安全映射方法,其特征在于,在步骤S4中,所述通过所述翻译网关接收所述IPv6分组数据,并根据所述IPv4/IPv6无状态分段安全映射算法对所述IPv6分组数据进行映射匹配,获取翻译后的IPv4分组地址并发送至所述IPv4服务器,包括:
通过所述翻译网关接收第一类IPv6分组;
判断所述第一类IPv6分组的源地址是否匹配所述IPv4/IPv6无状态分段安全映射表中已存在的映射记录,如果是,则
获得第一类IPv4分组,并发送至所述IPv4服务器。
5.根据权利要求4所述的IPv4/IPv6无状态分段安全映射方法,其特征在于,还包括:
通过所述翻译网关接收第一类IPv6分组;
判断所述第一类IPv6分组的源地址是否匹配所述IPv4/IPv6无状态分段安全映射表中已存在的映射记录,如果否,则
对所述第一类IPv6分组的源地址进行无状态分段安全映射,获取映射记录,并将映射记录写入所述IPv4/IPv6无状态分段安全映射表中;根据所述映射记录获得第一类IPv4分组,并发送至所述IPv4服务器。
6.根据权利要求4或5所述的IPv4/IPv6无状态分段安全映射方法,其特征在于,还包括:
通过所述IPv4服务器接收所述第一类IPv4分组;
对所述第一类IPv4分组进行处理,获得第二类IPv4分组;
接收所述第二类IPv4分组,并发送到所述翻译网关。
7.根据权利要求6所述的IPv4/IPv6无状态分段安全映射方法,其特征在于,还包括:
通过所述翻译网关接收所述第二类IPv4分组;
检查所述第二类IPv4分组的目的地址是否匹配所述IPv4/IPv6无状态分段安全映射表中已存在的映射记录,如果是,则
根据所述IPv4/IPv6无状态分段安全映射表项记录进行映射,得到第二类IPv6分组并发送给所述IPv6客户机。
8.根据权利要求2所述的IPv4/IPv6无状态分段安全映射方法,其特征在于,还包括:
在所述IPv4黑名单分区中增加IPv4黑名单地址,以及对应在IPv6黑名单的地址范围内增加IPv6黑名单地址;
获取带外疑似有安全风险的IPv6客户机的映射后IPv4地址,并将带外攻击的映射后IPv4地址根据所述IPv4/IPv6无状态分段安全映射表进行查询,获取对应的IPv6地址或其所在子网,形成黑名单隔离分区的IPv6/IPv4无状态映射表项;
在已有的IPv4/IPv6无状态分段安全映射表中查询是否包含上述映射表项,如果否则将所述黑名单隔离分区的IPv6/IPv4无状态映射表项添加到所述IPv4/IPv6无状态分段安全映射表;否则丢弃。
9.根据权利要求2或8所述的IPv4/IPv6无状态分段安全映射方法,其特征在于,还包括:
在所述IPv6黑名单的地址范围内增加IPv6黑名单地址,以及对应在所述IPv4黑名单分区中增加IPv4黑名单地址;
获取带外疑似有安全风险的IPv6地址或IPv6子网,并将所述带外疑似有安全风险的IPv6地址或IPv6子网根据所述IPv4/IPv6无状态分段安全映射表进行映射,获取IPv4地址映射结果,形成黑名单隔离分区的IPv6/IPv4无状态映射表项;
在已有的IPv4/IPv6无状态分段安全映射表中查询是否包含上述映射表项,如果否,则将所述黑名单隔离分区的IPv6/IPv4无状态映射表项添加到所述IPv4/IPv6无状态分段安全映射表;否则丢弃。
10.根据权利要求9所述的IPv4/IPv6无状态分段安全映射方法,其特征在于,还包括:
在所述IPv6白名单的地址范围内增加IPv6白名单地址分区,以及对应在所述IPv4白名单地址范围中增加IPv4白名单地址分区;
将新增IPv6白名单地址分区中的IPv6地址范围,与新增IPv4白名单地址分区中的IPv4地址范围进行静态映射,形成一条新的白名单IPv6/IPv4安全映射规则,并添加到IPv4/IPv6无状态分段安全映射表中;
重复上述步骤并获得多条IPv6/IPv4安全映射规则,通过所述多条IPv6/IPv4安全映射规则在所述IPv4白名单地址范围内实现多个不同安全等级的IPv4白名单安全分区,且与IPv4黑名单分区一起,形成完备的多安全等级IPv4/IPv6映射规则簇。
CN202111224888.3A 2021-10-21 2021-10-21 IPv4/IPv6无状态分段安全映射方法及控制系统 Active CN113691650B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111224888.3A CN113691650B (zh) 2021-10-21 2021-10-21 IPv4/IPv6无状态分段安全映射方法及控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111224888.3A CN113691650B (zh) 2021-10-21 2021-10-21 IPv4/IPv6无状态分段安全映射方法及控制系统

Publications (2)

Publication Number Publication Date
CN113691650A CN113691650A (zh) 2021-11-23
CN113691650B true CN113691650B (zh) 2022-02-25

Family

ID=78587657

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111224888.3A Active CN113691650B (zh) 2021-10-21 2021-10-21 IPv4/IPv6无状态分段安全映射方法及控制系统

Country Status (1)

Country Link
CN (1) CN113691650B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114143113B (zh) * 2021-12-09 2023-07-28 北京英迪瑞讯网络科技有限公司 适用于IPv6/IPv4访问服务的安全溯源装置及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010037893A1 (en) * 2008-09-30 2010-04-08 Nokia Corporation Communication of mapping information
CN103856580A (zh) * 2014-03-26 2014-06-11 清华大学 一种IPv6客户机访问IPv4服务器的方法
CN104734963A (zh) * 2015-03-24 2015-06-24 电子科技大学 一种基于SDN的IPv4和IPv6网络互连方法
CN104753793A (zh) * 2013-12-26 2015-07-01 联芯科技有限公司 在无状态IPv6配置下有状态管理接入终端的方法
CN110572416A (zh) * 2019-10-15 2019-12-13 赛尔网络有限公司 黑名单生成方法、装置、电子设备及介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010037893A1 (en) * 2008-09-30 2010-04-08 Nokia Corporation Communication of mapping information
CN104753793A (zh) * 2013-12-26 2015-07-01 联芯科技有限公司 在无状态IPv6配置下有状态管理接入终端的方法
CN103856580A (zh) * 2014-03-26 2014-06-11 清华大学 一种IPv6客户机访问IPv4服务器的方法
CN104734963A (zh) * 2015-03-24 2015-06-24 电子科技大学 一种基于SDN的IPv4和IPv6网络互连方法
CN110572416A (zh) * 2019-10-15 2019-12-13 赛尔网络有限公司 黑名单生成方法、装置、电子设备及介质

Also Published As

Publication number Publication date
CN113691650A (zh) 2021-11-23

Similar Documents

Publication Publication Date Title
US11362987B2 (en) Fully qualified domain name-based traffic control for virtual private network access control
US20230035336A1 (en) Systems and methods for mitigating and/or preventing distributed denial-of-service attacks
US10355991B1 (en) Managing communications using alternative packet addressing
US9438506B2 (en) Identity and access management-based access control in virtual networks
US10491561B2 (en) Equipment for offering domain-name resolution services
Davies et al. IPv6 transition/co-existence security considerations
EP3788755B1 (en) Accessing cloud resources using private network addresses
US11909767B2 (en) Device visibility and scanning including network segments
US9215234B2 (en) Security actions based on client identity databases
US20070016637A1 (en) Bitmap network masks
US20090070474A1 (en) Dynamic Host Configuration Protocol
CN101827138B (zh) 一种优化的ipv6过滤规则处理方法和设备
JP2005318584A (ja) デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置
US10805381B2 (en) Web storage based IoT device protect mechanism
US9930049B2 (en) Method and apparatus for verifying source addresses in a communication network
CN113596033B (zh) 访问控制方法及装置、设备、存储介质
CN106878161B (zh) 用于解析域名系统请求的方法和系统
CN113691650B (zh) IPv4/IPv6无状态分段安全映射方法及控制系统
CN113347198B (zh) Arp报文处理方法、装置、网络设备及存储介质
CN113542443A (zh) 创建域名系统容器镜像用于创建域名系统容器实例
US11134099B2 (en) Threat response in a multi-router environment
CN113645326B (zh) 用于IPv4/IPv6访问的准无状态自适应映射方法
EP3989509A1 (en) Method for realizing network dynamics, system, terminal device and storage medium
Ali et al. Software defined network (SDN) security against address resolution protocol poisoning attack
CN114500118A (zh) 卫星网络拓扑的隐藏方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant