2019年1月10日,中國人民銀行發(fā)布關(guān)于金融行業(yè)貫徹《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規模部署行動(dòng)計劃》的實(shí)施意見(jiàn),提出到 2019年底,金融服務(wù)機構門(mén)戶(hù)網(wǎng)站支持 IPv6鏈接訪(fǎng)問(wèn)。基于IPv6安全特點(diǎn),金融行業(yè)針對 IPv6網(wǎng)絡(luò )構筑既能有效防范IPv6安全風(fēng)險,又不低于現有 IPv4網(wǎng)絡(luò )等同防護能力的安全防護體系。加快推進(jìn) IPv6規模部署工作,是金融業(yè)今年乃至今后一段時(shí)期的重點(diǎn)工作。
在國家和行業(yè)政策的大力支持與推動(dòng)下,截至2019年初,許多大型金融機構、互聯(lián)網(wǎng)企業(yè)的 IPv6改造建設都在如火如荼的進(jìn)行。網(wǎng)絡(luò )運營(yíng)商也初步開(kāi)放了公網(wǎng) IPv6的訪(fǎng)問(wèn),更多的企業(yè)即將面臨著(zhù)新一輪的 IPv6改造。與此同時(shí),IPv6改造過(guò)程中的安全問(wèn)題也逐漸浮出水面。
IPv6應用層安全防護的幾個(gè)關(guān)鍵點(diǎn)
總有人誤認為“網(wǎng)絡(luò )改成IPv6,安全問(wèn)題就全面解決了”。
誠然,IPv4中常見(jiàn)的攻擊方式將在IPv6網(wǎng)絡(luò )中失效,使來(lái)自網(wǎng)絡(luò )層的一些安全攻擊得以抑制,但采用IPv6并不意味著(zhù)關(guān)緊了安全的大門(mén),來(lái)自應用層的威脅將以新的方式出現。企業(yè)在進(jìn)行IPv6規模化部署時(shí),應從以下幾個(gè)方面做好應用層安全防護。
1、IPv6應用層安全產(chǎn)品、設備適配性
IPv6網(wǎng)絡(luò )中同樣需要WAF、漏洞掃描、蜜罐、VPN、IDS(入侵檢測系統)、網(wǎng)絡(luò )過(guò)濾等網(wǎng)絡(luò )安全設備和技術(shù)。由于IPv6的一些新特性,IPv4網(wǎng)中現有的這些安全設備在IPv6中不能直接使用,需要升級改進(jìn)。其次,IPv4向IPv6過(guò)渡過(guò)程中,IPv6協(xié)議棧會(huì )擠占IPv4業(yè)務(wù)的CPU和內存等資源,導致現有的IPv4業(yè)務(wù)在會(huì )話(huà)表容量、吞吐率上會(huì )出現不同程度的下降。因此,對現有安全設備、安全系統處理能力進(jìn)行全面評估和升級,提升設備、系統的適配成程度至關(guān)重要。
2、過(guò)渡支撐技術(shù)
由于地址設計原因,IPv4無(wú)法訪(fǎng)問(wèn)到IPv6網(wǎng)絡(luò ),IPv6網(wǎng)絡(luò )無(wú)法平滑實(shí)現過(guò)渡。為了向IPv6網(wǎng)絡(luò )逐步演進(jìn),需要選用合適的過(guò)渡支撐技術(shù),以保證金融、互聯(lián)網(wǎng)等企業(yè)在IPv6改造后需要能夠同時(shí)對IPv4-only、IPv6-only以及IPv4/IPv6共用的用戶(hù)提供訪(fǎng)問(wèn)。
3、流量處理能力
IPv6時(shí)代,互聯(lián)網(wǎng)流量較從前大幅攀升,隨之為應用層流量分析清洗設備的負載和安全性造成壓力。應用層安全產(chǎn)品需要具備能夠在 IPv6環(huán)境下進(jìn)行部署,并對 IPv6流量進(jìn)行檢測的能力。
4、報文解析能力
IPv6的報文結構與 IPv4有較大區別,引入了多首部的概念、改變了 IPv4報文首部的部分字段名稱(chēng)與格式、取消了“首部校驗”字段。因此,部署在 IPv6環(huán)境下的應用安全產(chǎn)品應具備支持 IPv6的報文解析能力。
長(cháng)亭應用安全塔防體系全面支持IPv6防護服務(wù)
企業(yè)在對基礎網(wǎng)絡(luò )架構進(jìn)行 IPv6改造的同時(shí),也需確保網(wǎng)絡(luò )中的安全設備與安全軟件能支持 IPv6,并進(jìn)行相應的場(chǎng)景化適配。
企業(yè)在對基礎網(wǎng)絡(luò )架構進(jìn)行 IPv6改造的同時(shí),也需確保網(wǎng)絡(luò )中的安全設備與安全軟件能支持 IPv6,并進(jìn)行相應的場(chǎng)景化適配。
長(cháng)亭科技應用安全塔防體系
當安全設備部署到網(wǎng)絡(luò )環(huán)境中,除了安全產(chǎn)品本身需要支持 IPv6以外,還需要進(jìn)行適當的配置才能發(fā)揮實(shí)際的作用,這些配置包括但不限于:
- 安全產(chǎn)品本身需要配置 DHCPv6與 IPv6 DNS;
- 需要重建原有的基于 IP的黑白名單;
- 原有的 HTTPS站點(diǎn)需要修改為 IPv6 HTTPS,相關(guān)的 Web流量處理產(chǎn)品,需要進(jìn)行加密算法和證書(shū)的調整;
- HTTP層的流量轉發(fā)需要調整重寫(xiě)后的 HTTP Header。
長(cháng)亭科技應用安全塔防體系,經(jīng)過(guò)產(chǎn)品架構和功能升級,現已全線(xiàn)支持 IPv6,目前包括雷池(SafeLine)下一代Web應用防火墻、諦聽(tīng)(D-Sensor)內網(wǎng)威脅感知系統、洞鑒(X-Ray)安全評估系統在內的多款產(chǎn)品已相繼獲得 IPv6 Ready的官方認證,標志著(zhù)應用安全塔防體系全線(xiàn)產(chǎn)品在IPv6一致性及互聯(lián)互通方面均符合IETF IPv6相關(guān) RFC標準,可進(jìn)行商業(yè)部署。
產(chǎn)品 IPv6認證證書(shū)
適配升級提升企業(yè)安全建設價(jià)值
IPv6帶來(lái)了充足的地址空間,使絕大多數使用者無(wú)需 NAT,給企業(yè)安全建設帶來(lái)諸多價(jià)值。
- 追蹤溯源:IPv6協(xié)議的“超大地址空間”可以從技術(shù)上解決網(wǎng)絡(luò )實(shí)名制和用戶(hù)身份溯源問(wèn)題,實(shí)現網(wǎng)絡(luò )精準管理。在 IPv6部署過(guò)程中,可采用地址編碼技術(shù)識別 IP地址類(lèi)型,地址編碼可精確到區縣級。因而,安全設備可以對客戶(hù)端進(jìn)行會(huì )話(huà)跟蹤,同時(shí)也方便在攻防對抗的場(chǎng)景下對攻擊者進(jìn)行溯源;
- 避免誤傷:減輕了阻斷攻擊源時(shí),由于 IP是公共出口(企業(yè)內網(wǎng)、高校內網(wǎng)、IDC等)導致的大面積誤傷;
- 防護控制:方便執行更精準的頻率控制與 CC防護規則。
- 采用雙棧方案,同時(shí)支持 IPv4-only、IPv6-only和 IPv4/IPv6雙棧協(xié)議的部署模式;
- 產(chǎn)品內核升級 IPv6流量處理能力;
- 檢測引擎更新支持 IPv6報文解析能力;
- 配置了相關(guān)的防護策略;
- 進(jìn)行 IPv6相關(guān)數據的展示和統計。
IPv6不僅是互聯(lián)網(wǎng)發(fā)展的必然路徑,也是中國互聯(lián)網(wǎng)技術(shù)及相關(guān)應用成長(cháng)的有利契機。融入世界互聯(lián)網(wǎng)大潮,在競爭中尋求進(jìn)步才真正有益于自身發(fā)展。對企業(yè)而言,IPv6的安全建設正是如此。
