中國(guó)推進(jìn)ipv6規(guī)模部署 安全領(lǐng)域的7大問(wèn)題

中國(guó)發(fā)布的關(guān)于IPv6規(guī)模部署行動(dòng)計(jì)劃旨在加快推進(jìn)基下一代互聯(lián)網(wǎng)規(guī)模部署，實(shí)現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟(jì)社會(huì)各領(lǐng)域深度融合應(yīng)用，更是提升了IPSec安全傳輸能力和網(wǎng)絡(luò)的安全性，IPv6也將成為下一代網(wǎng)絡(luò)的主導(dǎo)力量。

IPv6因地址空間巨大，在應(yīng)對(duì)部分安全攻擊方面具有天然優(yōu)勢(shì)，在可溯源性、反黑客嗅探能力、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議以及端到端的IPSec安全傳輸能力等方面提升了網(wǎng)絡(luò)安全性。

針對(duì)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，華為安全給出了IPv6規(guī)模部署下網(wǎng)絡(luò)安全防護(hù)的詳盡解讀，承接上期IPv6行業(yè)影響，本期聚焦IPv6安全技術(shù)。

可溯源性

IPv6巨大的地址空間為每個(gè)網(wǎng)絡(luò)設(shè)備分配了一個(gè)獨(dú)一無(wú)二的網(wǎng)絡(luò)地址，不需要像在IPv4網(wǎng)絡(luò)中通過(guò)NAT解決地址不足問(wèn)題，從而有利于事后追查回溯，提高安全的保障性。

反黑客嗅探能力

由于龐大的IPv6地址，使得在IPv4網(wǎng)絡(luò)中常常被黑客使用的嗅探掃描在IPv6網(wǎng)絡(luò)中變得更加困難。

NDP & SEND

在IPv6中，ARP的功能被鄰居發(fā)現(xiàn)協(xié)議（NDP）所代替。鄰居發(fā)現(xiàn)協(xié)議通過(guò)發(fā)現(xiàn)鏈路上的其他節(jié)點(diǎn)，判斷其他節(jié)點(diǎn)的地址，尋找可用路由。對(duì)比ARP， NDP僅在鏈路層實(shí)現(xiàn)，更加獨(dú)立于傳輸介質(zhì)。下一代互聯(lián)網(wǎng)的安全鄰居發(fā)現(xiàn)（SEND）協(xié)議通過(guò)獨(dú)立于IPSec的另一種加密方式，保證了傳輸?shù)陌踩浴?/p>

端到端IPSec安全傳輸能力

IPSec為IPv6網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)提供了數(shù)據(jù)源認(rèn)證、完整性和保密性的能力，實(shí)現(xiàn)端到端的安全加密。

Q1IPv6新增的安全特性與IPv4有什么區(qū)別？

IPv6網(wǎng)絡(luò)的安全，由于僅是IP包頭、尋址方式發(fā)生了變化，內(nèi)置了端到端的安全機(jī)制，所以相對(duì)IPv4，在安全方面IPv6對(duì)當(dāng)前的各種安全風(fēng)險(xiǎn)的防范并沒(méi)有太大的提高。

Q2基于安全性考慮，IPv4網(wǎng)絡(luò)使用NAT技術(shù)來(lái)隱藏內(nèi)網(wǎng)IP地址，IPv6網(wǎng)絡(luò)是否也需要類(lèi)似技術(shù)來(lái)提升安全性？

IPv6的NPT（Network Prefix TranslaTIon）（RFC6296）協(xié)議可以實(shí)現(xiàn)與IPv4 NAT類(lèi)似的功能，允許IPv6地址的1：1映射，達(dá)到隱藏內(nèi)部IPv6地址的效果。

Q3對(duì)于應(yīng)用層攻擊，IPv6網(wǎng)絡(luò)的防御手段和方式都有哪些影響？

應(yīng)用層防御功能一般包括協(xié)議識(shí)別、IPS、反病毒、URL過(guò)濾等，主要檢測(cè)報(bào)文的應(yīng)用層負(fù)載，幾乎不受網(wǎng)絡(luò)層協(xié)議IPv4/IPv6影響，因此，大部分傳統(tǒng)IPv4協(xié)議下的應(yīng)用層安全能力在IPv6網(wǎng)絡(luò)中不受影響。

但有少部分IPv4網(wǎng)絡(luò)協(xié)議在IPv6網(wǎng)絡(luò)下自身需要發(fā)生了變化，比如DNS協(xié)議升級(jí)到DNSv6，那么對(duì)應(yīng)的應(yīng)用層安全檢測(cè)需要根據(jù)協(xié)議變化進(jìn)行調(diào)整。

Q4IPv6在擴(kuò)展頭中增加了IPSec的端到端加密能力，如果應(yīng)用開(kāi)啟了此項(xiàng)功能，那么網(wǎng)絡(luò)安全設(shè)備該如何檢測(cè)和防御加密流量？

一般情況下，網(wǎng)絡(luò)安全設(shè)備無(wú)法解密IPSec加密流量，僅能基于IP地址來(lái)控制。但從目前的情況來(lái)看，這種“內(nèi)嵌”的IPSec需要使用密鑰分發(fā)技術(shù)，總體上并不成熟，管理成本高，另外，由于網(wǎng)絡(luò)安全設(shè)備正常是無(wú)法解密IPSec流量，防火墻等網(wǎng)絡(luò)安全設(shè)備就無(wú)法在網(wǎng)絡(luò)&應(yīng)用層來(lái)檢測(cè)IPSec流量，從某種意義上，系統(tǒng)的安全性得不到完整的保證。對(duì)于一般企業(yè)應(yīng)用，基于管理成本和安全性考慮，建議仍使用防火墻實(shí)現(xiàn)IPSec VPN加解密，并在網(wǎng)關(guān)位置進(jìn)行IPS、狀態(tài)防火墻等安全檢查，待技術(shù)成熟后再部署端到端加密。

Q5SSL代理功能在IPv6協(xié)議下是否受到影響？

SSL代理不依賴(lài)于網(wǎng)絡(luò)層的具體協(xié)議，仍可以對(duì)IPv6 SSL加密流量實(shí)現(xiàn)解密。

Q6對(duì)于IPv6網(wǎng)絡(luò)，如何通過(guò)防火墻來(lái)實(shí)現(xiàn)安全策略管理，與IPv4的安全策略有何不同？

IPv6與IPv4的安全策略管控是一樣的，仍需要基于ACL的五元組來(lái)逐條配置，僅是IPv6地址變長(zhǎng)，使得策略配置更加復(fù)雜。

Q7在現(xiàn)有安全設(shè)備上開(kāi)啟IPv4/IPv6雙棧功能后，在功能和性能上會(huì)對(duì)IPv4業(yè)務(wù)有何影響？

開(kāi)啟IPv4/IPv6雙棧一般不會(huì)對(duì)安全設(shè)備的功能產(chǎn)生影響，主要影響設(shè)備的性能，因?yàn)镮Pv6協(xié)議棧會(huì)擠占IPv4業(yè)務(wù)的CPU和內(nèi)存等資源，導(dǎo)致現(xiàn)有的IPv4業(yè)務(wù)在會(huì)話(huà)表容量、新建速率、吞吐率上會(huì)出現(xiàn)不同程度的下降。建議在升級(jí)/開(kāi)啟IPv4/IPv6雙棧前評(píng)估現(xiàn)有安全設(shè)備的處理能力，必要時(shí)可以替換現(xiàn)有安全設(shè)備，避免影響現(xiàn)有IPv4業(yè)務(wù)。