私有网络在保护 IPv4 与 IPv6 物联网部署中的作用

当 IPv4 被接受为互联网的基础时,其 32 位地址空间只能产生大约 43 亿个唯一 IP 地址这一事实已不再是问题。然而,随着时间的推移,越来越多的用户开始连接到互联网,导致智能手机、平板电脑和其他连接设备的数量激增。由于所有这些设备都需要一个 IP 地址,最终结果是 IPv4 基础设施下可用的地址数量已经完全耗尽。

私有网络在保护 IPv4 与 IPv6 物联网部署中的作用
  IPv4 是第四代互联网协议。自 1983 年以来,它一直是用于为互联网和其他分组交换网络供电的主要网络层协议。它的定义特征是它使用 32 位地址(例如:192.0.2.38),允许设备通过各自的 IP 地址向网站、文件服务器和其他网络设备发送数据和从网站、文件服务器和其他网络设备接收数据,从而连接到互联网.
  虽然 IPv4 在 Internet 中无处不在,但它最初是为小型网络设计的。随着互联网的发展超出预期,IPv4 地址空间的限制带来了一些技术挑战。更新版本的 Internet 协议 IPv6 旨在缓解其中一些问题。但这是否意味着您应该为您的 IoT 解决方案选择 IPv6 而不是 IPv4?并非如此。任何一种协议(甚至两者)都适用于物联网。关键是正确、安全地配置接口和网络。
  考虑到目前连接到互联网的数百亿设备,这听起来可能令人惊讶。让我们来看看为什么。
  IPv4 的有限地址空间
  当 IPv4 被接受为互联网的基础时,其 32 位地址空间只能产生大约 43 亿个唯一 IP 地址这一事实已不再是问题。然而,随着时间的推移,越来越多的用户开始连接到互联网,导致智能手机、平板电脑和其他连接设备的数量激增。由于所有这些设备都需要一个 IP 地址,最终结果是 IPv4 基础设施下可用的地址数量已经完全耗尽。
  为了帮助解决这个问题,许多 IP 地址范围已专门用于专用网络。每个网络都可以使用这些私有 IP 地址,而不会与其他地方使用的任何全局 IP 地址发生冲突。网络管理员可以根据需要在这些范围内分配地址,前提是分配给特定设备的私有 IP 地址在其自己的私有网络中仍然是唯一的。
  为了使具有私有 IP 地址的设备能够与互联网(或全球 IP 地址空间中的外部网络)通信,私有网络需要使用网络地址转换 (NAT)。 NAT 是一种功能,通常由网关或路由器处理,它从专用网络中的设备获取数据包,在将其发送到外部网络之前将其源 IP 地址转换为全局 IP 地址。然后,它会跟踪收到响应数据包后应将其转发到哪个私有 IP 地址。 NAT 允许用户使用单个公共 IP 地址将多个设备连接到 Internet 或外部网络。它几乎无处不在,从家庭到企业,甚至是咖啡馆和图书馆的公共 WiFi。
  私有网络和物联网
  乍一看,使用 NAT 似乎只是延长 IPv4 寿命的一种解决方法。现实情况是,它将 NAT 网关后面的主机隐藏在外部网络之外。因此,它创建了一个专用网络,您可以在其中控制网络内的设备以及网络本身。
  NAT 作为一种支持多台主机连接到公共互联网和/或外部网络的机制,提高了 IPv4 网络的可扩展性,并且可以连接比最初建议的 32 位地址结构更多的设备。此外,NAT 通过阻止未经授权的连接进入网络来帮助保护 NAT 网关后面的主机,更不用说到达其中的任何设备(通常称为“无状态防火墙”)。
  鉴于目前数据泄露的平均成本估计约为 420 万美元,安全必须是开发人员的首要任务――尤其是对于物联网项目。通过从头开始设计您的物联网架构以使用专用网络,您可以大幅减少(如果不是彻底消除)大多数破坏无数物联网项目的攻击媒介。通过结合 NAT,即使使用 IPv4,您也可以实现高度可扩展且安全的网络。
  尽管带有 NAT 的 IPv4 可以连接比最初建议的 32 位地址空间更多的主机,但缺点是如果没有某种方式遍历 NAT,就无法从外部网络访问位于 NAT 网关后面的主机。
  IPv6 怎么样?
  Internet 协议的第六次迭代 IPv6 主要旨在解决 IPv4 的 32 位 IP 地址空间的限制。通过使用 128 位地址(表示为十六进制字符串),IPv6能够提供大约340的10次方个唯一地址,或者大约是IPv4的790亿倍。。
  凭借这种看似取之不尽的字母数字组合,IPv6 的设计者设想了一个未来,即每台设备都有自己的全球唯一 IP 地址。从理论上讲,这将消除对私有网络和 NAT 的需求,因为每个设备都可以被唯一地识别,以便发送和接收数据,而不管它如何连接到互联网。
  但是我们真的想完全摆脱私有网络吗?一句话,没有。由于每台设备都有自己的全球唯一 IP 地址,将它们直接连接到互联网会使它们面临与使用 IPv4 地址直接连接到互联网的设备相同的安全风险。
  如果设备之间的直接点对点访问或让公众可以访问设备不是您想要的,那么 IPv6 最吸引人的特性之一――它无穷无尽的全球 IP 地址――突然变得不那么吸引人了。
  因此,在构建安全性是首要问题的物联网系统时,构建架构的 IP 协议版本在很大程度上是无关紧要的。无论是 IPv4 还是 IPv6,网络及其设备都需要正确配置才能真正安全。
  蜂窝物联网中专用网络的挑战
  既然我们已经确定私有网络优先方法有助于保护我们的设备,那么让我们来看看当我们将蜂窝连接加入混合时的一些常见挑战。
  在家里或办公室设置专用网络时,您或您的 IT 管理员应保持对连接到网络的设备以及网络配置本身的控制。
  如果您查看智能手机的蜂窝 IP 地址(当它与您的家庭 WiFi 断开连接时),您可能会看到一个全球 IP 地址。您也可能会看到私有 IP 地址(例如,在 10.0.0.0/8 私有 IP 地址范围内的 IP 地址)。这表明您的蜂窝连接提供商正在使用专用网络和 NAT。但是,与您在家中或工作中的专用网络不同,您的提供商控制着您的蜂窝设备的专用网络配置,以及哪些设备可以连接到它,哪些设备不能连接到它。
  如果您的蜂窝服务提供商将专用 IP 地址分配给蜂窝连接设备,则默认情况下,您的提供商的 NAT 和状态防火墙会阻止传入连接。这意味着设备默认远离公共互联网,这在安全性方面是一件好事。
  然而,与通常触手可及并主要用于互联网服务的智能手机不同,物联网带来了不同的架构和后勤挑战。其中包括远程连接到位于世界另一端的设备以进行故障排除,这些设备被提供商的 NAT 和状态防火墙阻止。一种方法是为您的设备和服务器创建一个专用网络,以便它们可以安全地相互通信,同时将它们与公共 Internet 隔离。
  由于大多数电信提供商控制着蜂窝专用网络的配置,物联网/M2M 领域的企业公司的传统方法是利用专用 APN 和虚拟专用网络 (VPN) 连接。专用网关分配给私有 APN,来自使用私有 APN 的设备的流量与其他客户的蜂窝流量隔离。与此同时,VPN 在网关(或网关后面的 VPN 路由器)与您的本地网络或虚拟私有云 (VPC) 之间建立安全链接,以便在不使用互联网的情况下发送和接收数据并远程访问设备。需要。
  不幸的是,私有 APN 和 VPN 通常会带来大量设置成本和冗长的承诺――主要是因为蜂窝连接提供商需要设置专用网络元素并代表您维护它们。对于物联网部署或仅从少数设备开始(或仅偶尔需要这些功能)的开发人员来说,这些成本和谈判障碍通常会阻止考虑私有网络优先的方法。
  结论
  最终,对于任何物联网项目,IPv4 和 IPv6 都是完全可行的网络层协议。然而,在安全性方面,更多的是配置问题。让设备远离公共互联网是保护您的部署的最佳方式,因此投资于将您的数据路由到黑客无法到达的解决方案是一个很好的起点。

该文观点仅代表作者,本站仅提供信息存储空间服务,转载请注明出处。若需了解详细的安防行业方案,或有其它建议反馈,欢迎联系我们

(0)
小安小安

相关推荐

  • 国安委第一次会议 习近平强调国家安全观

    当前我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂,必须坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,走出一条中国特色国家安全道路。

    2024年4月18日
  • 中国首个安全生产标准化管理云平台发布

    中国化学品安全协会暨北京帮安迪信息科技股份有限公司,通过对企业生产实际的探索与研究,结合安全生产标准化要求及多项AQ标准,联合设计研发了《安全生产管理信息平台》(以下简称“管理平台”),统一部署于国家安监总局的安监云平台,保障系统的运行稳定及数据安全。

    2024年1月30日
  • 深信服安全态势感知与运营方案获评“智慧检务十大解决方案”

    根据评审规则,综合大众投票、专家评审,深信服安全态势感知与运营解决方案从120个解决方案中脱颖而出,荣获智慧检务十大解决方案。此外,由深信服解决方案支撑的武汉市公安局、河南省高级人民法院、江西省人民检察院亦榜上有名。

    2024年1月12日
  • 2023产业互联网安全十大趋势(腾讯研究院、中国信息安全、南方日报、腾讯安全联合推出)

    日前,在中国产业互联网发展联盟指导下,腾讯研究院、中国信息安全、南方日报、腾讯安全联合推出《2023 产业互联网安全十大趋势》(以下简称报告)。 这是腾讯研究院和腾讯安全,连续三年…

    2024年11月21日
  • 2018中国安全产业大会新闻发布会在京召开

    2018中国安全产业大会以十九大会议精神为指导,结合产业发展特点、紧扣热点、聚焦难点,邀请政府主管部门、国内外安全产业专家学者及企业家展开深入探讨,为我国安全产业的快速、健康发展建言献策。大会由开幕论坛、公共安全科学技术学术年会、安全出行主题论坛、中国爆破器材行业协会会员代表大会四个主要板块构成。

    2024年1月31日
  • 腾讯“政务安全大脑”正式发布 助力打造全新数字政府智能化安全体系

    腾讯基础安全解决方案总监王朋群基于腾讯安全成功护航云上广交会的实践经验,阐释了政务安全大脑“一个体系、两个提升、三项智能”的理念,同时重点分析了建立政务安全大脑所需的五大核心能力。他表示,依托腾讯政务安全大脑的能力,有助于数字政府建立新一代安全大脑智能化体系,为政务上云保驾护航。

    2024年1月27日