技术动态 > 正文
私有网络在保护 IPv4 与 IPv6 物联网部署中的作用
2022/3/2 09:05   千家网      关键字:私有网络 IPv4 IPv6 物联网      浏览量:
当 IPv4 被接受为互联网的基础时,其 32 位地址空间只能产生大约 43 亿个唯一 IP 地址这一事实已不再是问题。然而,随着时间的推移,越来越多的用户开始连接到互联网,导致智能手机、平板电脑和其他连接设备的数量激增。由于所有这些设备都需要一个 IP 地址,最终结果是 IPv4 基础设施下可用的地址数量已经完全耗尽。
  IPv4 是第四代互联网协议。自 1983 年以来,它一直是用于为互联网和其他分组交换网络供电的主要网络层协议。它的定义特征是它使用 32 位地址(例如:192.0.2.38),允许设备通过各自的 IP 地址向网站、文件服务器和其他网络设备发送数据和从网站、文件服务器和其他网络设备接收数据,从而连接到互联网.
  虽然 IPv4 在 Internet 中无处不在,但它最初是为小型网络设计的。随着互联网的发展超出预期,IPv4 地址空间的限制带来了一些技术挑战。更新版本的 Internet 协议 IPv6 旨在缓解其中一些问题。但这是否意味着您应该为您的 IoT 解决方案选择 IPv6 而不是 IPv4?并非如此。任何一种协议(甚至两者)都适用于物联网。关键是正确、安全地配置接口和网络。
  考虑到目前连接到互联网的数百亿设备,这听起来可能令人惊讶。让我们来看看为什么。
  IPv4 的有限地址空间
  当 IPv4 被接受为互联网的基础时,其 32 位地址空间只能产生大约 43 亿个唯一 IP 地址这一事实已不再是问题。然而,随着时间的推移,越来越多的用户开始连接到互联网,导致智能手机、平板电脑和其他连接设备的数量激增。由于所有这些设备都需要一个 IP 地址,最终结果是 IPv4 基础设施下可用的地址数量已经完全耗尽。
  为了帮助解决这个问题,许多 IP 地址范围已专门用于专用网络。每个网络都可以使用这些私有 IP 地址,而不会与其他地方使用的任何全局 IP 地址发生冲突。网络管理员可以根据需要在这些范围内分配地址,前提是分配给特定设备的私有 IP 地址在其自己的私有网络中仍然是唯一的。
  为了使具有私有 IP 地址的设备能够与互联网(或全球 IP 地址空间中的外部网络)通信,私有网络需要使用网络地址转换 (NAT)。 NAT 是一种功能,通常由网关或路由器处理,它从专用网络中的设备获取数据包,在将其发送到外部网络之前将其源 IP 地址转换为全局 IP 地址。然后,它会跟踪收到响应数据包后应将其转发到哪个私有 IP 地址。 NAT 允许用户使用单个公共 IP 地址将多个设备连接到 Internet 或外部网络。它几乎无处不在,从家庭到企业,甚至是咖啡馆和图书馆的公共 WiFi。
  私有网络和物联网
  乍一看,使用 NAT 似乎只是延长 IPv4 寿命的一种解决方法。现实情况是,它将 NAT 网关后面的主机隐藏在外部网络之外。因此,它创建了一个专用网络,您可以在其中控制网络内的设备以及网络本身。
  NAT 作为一种支持多台主机连接到公共互联网和/或外部网络的机制,提高了 IPv4 网络的可扩展性,并且可以连接比最初建议的 32 位地址结构更多的设备。此外,NAT 通过阻止未经授权的连接进入网络来帮助保护 NAT 网关后面的主机,更不用说到达其中的任何设备(通常称为“无状态防火墙”)。
  鉴于目前数据泄露的平均成本估计约为 420 万美元,安全必须是开发人员的首要任务——尤其是对于物联网项目。通过从头开始设计您的物联网架构以使用专用网络,您可以大幅减少(如果不是彻底消除)大多数破坏无数物联网项目的攻击媒介。通过结合 NAT,即使使用 IPv4,您也可以实现高度可扩展且安全的网络。
  尽管带有 NAT 的 IPv4 可以连接比最初建议的 32 位地址空间更多的主机,但缺点是如果没有某种方式遍历 NAT,就无法从外部网络访问位于 NAT 网关后面的主机。
  IPv6 怎么样?
  Internet 协议的第六次迭代 IPv6 主要旨在解决 IPv4 的 32 位 IP 地址空间的限制。通过使用 128 位地址(表示为十六进制字符串),IPv6能够提供大约340的10次方个唯一地址,或者大约是IPv4的790亿倍。。
  凭借这种看似取之不尽的字母数字组合,IPv6 的设计者设想了一个未来,即每台设备都有自己的全球唯一 IP 地址。从理论上讲,这将消除对私有网络和 NAT 的需求,因为每个设备都可以被唯一地识别,以便发送和接收数据,而不管它如何连接到互联网。
  但是我们真的想完全摆脱私有网络吗?一句话,没有。由于每台设备都有自己的全球唯一 IP 地址,将它们直接连接到互联网会使它们面临与使用 IPv4 地址直接连接到互联网的设备相同的安全风险。
  如果设备之间的直接点对点访问或让公众可以访问设备不是您想要的,那么 IPv6 最吸引人的特性之一——它无穷无尽的全球 IP 地址——突然变得不那么吸引人了。
  因此,在构建安全性是首要问题的物联网系统时,构建架构的 IP 协议版本在很大程度上是无关紧要的。无论是 IPv4 还是 IPv6,网络及其设备都需要正确配置才能真正安全。
  蜂窝物联网中专用网络的挑战
  既然我们已经确定私有网络优先方法有助于保护我们的设备,那么让我们来看看当我们将蜂窝连接加入混合时的一些常见挑战。
  在家里或办公室设置专用网络时,您或您的 IT 管理员应保持对连接到网络的设备以及网络配置本身的控制。
  如果您查看智能手机的蜂窝 IP 地址(当它与您的家庭 WiFi 断开连接时),您可能会看到一个全球 IP 地址。您也可能会看到私有 IP 地址(例如,在 10.0.0.0/8 私有 IP 地址范围内的 IP 地址)。这表明您的蜂窝连接提供商正在使用专用网络和 NAT。但是,与您在家中或工作中的专用网络不同,您的提供商控制着您的蜂窝设备的专用网络配置,以及哪些设备可以连接到它,哪些设备不能连接到它。
  如果您的蜂窝服务提供商将专用 IP 地址分配给蜂窝连接设备,则默认情况下,您的提供商的 NAT 和状态防火墙会阻止传入连接。这意味着设备默认远离公共互联网,这在安全性方面是一件好事。
  然而,与通常触手可及并主要用于互联网服务的智能手机不同,物联网带来了不同的架构和后勤挑战。其中包括远程连接到位于世界另一端的设备以进行故障排除,这些设备被提供商的 NAT 和状态防火墙阻止。一种方法是为您的设备和服务器创建一个专用网络,以便它们可以安全地相互通信,同时将它们与公共 Internet 隔离。
  由于大多数电信提供商控制着蜂窝专用网络的配置,物联网/M2M 领域的企业公司的传统方法是利用专用 APN 和虚拟专用网络 (VPN) 连接。专用网关分配给私有 APN,来自使用私有 APN 的设备的流量与其他客户的蜂窝流量隔离。与此同时,VPN 在网关(或网关后面的 VPN 路由器)与您的本地网络或虚拟私有云 (VPC) 之间建立安全链接,以便在不使用互联网的情况下发送和接收数据并远程访问设备。需要。
  不幸的是,私有 APN 和 VPN 通常会带来大量设置成本和冗长的承诺——主要是因为蜂窝连接提供商需要设置专用网络元素并代表您维护它们。对于物联网部署或仅从少数设备开始(或仅偶尔需要这些功能)的开发人员来说,这些成本和谈判障碍通常会阻止考虑私有网络优先的方法。
  结论
  最终,对于任何物联网项目,IPv4 和 IPv6 都是完全可行的网络层协议。然而,在安全性方面,更多的是配置问题。让设备远离公共互联网是保护您的部署的最佳方式,因此投资于将您的数据路由到黑客无法到达的解决方案是一个很好的起点。

微信扫描二维码,关注公众号。