IPv6 能够提供更广泛的互联网连接,促进物联网、人工智能等新技术应用的发展,是全球公认的下一代互联网解决方案。在国家政策的大力推动下,各行业IPv6改造都在如火如荼地进行。长亭科技应用安全塔防体系全面升级IPv6防护服务,帮助企业应对新出现的应用层安全威胁,提升企业安全建设价值。
2019年1月10日,中国人民银行发布关于金融行业贯彻《推进互联网协议第六版(IPv6)规模部署行动计划》的实施意见,提出到 2019 年底,金融服务机构门户网站支持 IPv6 链接访问。基于IPv6安全特点,金融行业针对 IPv6 网络构筑既能有效防范IPv6 安全风险,又不低于现有 IPv4 网络等同防护能力的安全防护体系。加快推进 IPv6 规模部署工作,是金融业今年乃至今后一段时期的重点工作。
在国家和行业政策的大力支持与推动下,截至2019 年初,许多大型金融机构、互联网企业的 IPv6 改造建设都在如火如荼的进行。网络运营商也初步开放了公网 IPv6 的访问,更多的企业即将面临着新一轮的 IPv6 改造。与此同时,IPv6改造过程中的安全问题也逐渐浮出水面。
IPv6应用层安全防护的几个关键点
总有人误认为“网络改成IPv6,安全问题就全面解决了”。
诚然,IPv4中常见的攻击方式将在IPv6网络中失效,使来自网络层的一些安全攻击得以抑制,但采用IPv6并不意味着关紧了安全的大门,来自应用层的威胁将以新的方式出现。企业在进行IPv6规模化部署时,应从以下几个方面做好应用层安全防护。
1、IPv6 应用层安全产品、设备适配性
IPv6网络中同样需要WAF、漏洞扫描、蜜罐、VPN、IDS(入侵检测系统)、网络过滤等网络安全设备和技术。由于IPv6的一些新特性,IPv4网中现有的这些安全设备在IPv6中不能直接使用,需要升级改进。其次,IPv4向IPv6过渡过程中,IPv6协议栈会挤占IPv4业务的CPU和内存等资源,导致现有的IPv4业务在会话表容量、吞吐率上会出现不同程度的下降。因此,对现有安全设备、安全系统处理能力进行全面评估和升级,提升设备、系统的适配成程度至关重要。
2、过渡支撑技术
由于地址设计原因,IPv4无法访问到IPv6网络,IPv6网络无法平滑实现过渡。为了向IPv6网络逐步演进,需要选用合适的过渡支撑技术,以保证金融、互联网等企业在IPv6改造后需要能够同时对IPv4-only、IPv6-only以及IPv4/IPv6共用的用户提供访问。
3、 流量处理能力
IPv6 时代,互联网流量较从前大幅攀升,随之为应用层流量分析清洗设备的负载和安全性造成压力。应用层安全产品需要具备能够在 IPv6 环境下进行部署,并对 IPv6 流量进行检测的能力。
4、 报文解析能力
IPv6 的报文结构与 IPv4 有较大区别,引入了多首部的概念、改变了 IPv4 报文首部的部分字段名称与格式、取消了“首部校验”字段。因此,部署在 IPv6 环境下的应用安全产品应具备支持 IPv6 的报文解析能力。
长亭应用安全塔防体系全面支持IPv6 防护服务
企业在对基础网络架构进行 IPv6 改造的同时,也需确保网络中的安全设备与安全软件能支持 IPv6,并进行相应的场景化适配。
图:长亭科技应用安全塔防体系
当安全设备部署到网络环境中,除了安全产品本身需要支持 IPv6 以外,还需要进行适当的配置才能发挥实际的作用,这些配置包括但不限于:
安全产品本身需要配置 DHCPv6 与 IPv6 DNS;
需要重建原有的基于 IP 的黑白名单;
原有的 HTTPS 站点需要修改为 IPv6 HTTPS,相关的 Web 流量处理产品,需要进行加密算法和证书的调整;