企业IPv6网络安全管理新趋势

企业IPv6网络安全管理新趋势

引用

安全内参

等

10

来源

1.

https://www.secrss.com/articles/70235

2.

https://www.sohu.com/a/815936287_672569

3.

https://www.qianxin.com/news/detail?news_id=12259

4.

https://www.ctyun.cn/document/10065985/10115739

5.

https://www.cfachina.org/index/zygx/202412/t20241216_77592.html

6.

https://www.guokeyun.com/news/technology/detail/944.html?navId=22

7.

https://www.guokeyun.com/news/technology/detail/996.html?navId=22

8.

https://developer.aliyun.com/article/1540944

9.

https://www.cnblogs.com/wuy666/articles/18117310

10.

https://training.twnic.tw/ipv6_113/

随着全球互联网的快速发展，IPv6（互联网协议第6版）作为下一代网络协议，不仅能够提供几乎无限的IP地址资源，还能支持更高效的网络配置、更安全的网络连接以及更广泛的异构网络接入。然而，在IPv6规模部署和应用过程中，企业面临着前所未有的网络安全挑战。

工业和信息化部办公厅、中央网信办秘书局联合印发的《关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用》的通知（简称“网络去NAT”通知》）明确提出，到2025年7月底前实现试点区域基础电信企业NAT44设备总容量停止增长，主要移动互联网应用（APP）固网侧IPv6流量占比不低于70%；到2024年底，基础电信企业自有环境固定宽带用户IPv6连通率不低于80%。

这一政策的出台，标志着我国IPv6规模部署进入加速阶段。然而，IPv6的广泛应用也带来了新的安全挑战。奇安信集团鲲鹏网络平台负责人、边界安全专家李红光指出，企业在IPv6部署过程中至少面临以下三方面的安全挑战：

过渡期安全风险叠加

IPv4向IPv6的过渡是一个长期过程，目前IPv6业务应用相对有限。为保障IPv4和IPv6网络间的相互通信，通常采用双栈、隧道、翻译等过渡机制。然而，这些过渡机制自身存在安全缺陷，或因过渡机制特性引入新的安全隐患，导致IPv6网络升级建设过渡期安全风险持续叠加。

协议新特性挑战现有安全防护手段

IPv6协议的特性，如路由头、移动IPv6、站点范围的多播地址、ICMPv6、任播流量、地址隐私扩展与DDoS防御、动态DNS、扩展头、分片、链路本地地址和邻居发现、安全路由通告、多路由器负载分担等，给现有安全防护手段带来挑战。例如，使用嵌入IPv4地址的IPv6地址可能绕过防护，端到端透明性问题（无NAT）可能导致安全检查失效，将IPv6隐藏于IPv6隧道也可能绕过安全检查。

海量地址空间加大安全管理难度

IPv6可提供IPv4的2^96倍的海量网络地址空间，虽然能满足万物互联的需求，但也加大了网络安全管理难度。从网络安全防御方看，需要将终端、设备等海量互联网资产全面纳入网络安全管理范畴，导致网络安全管理工作难度急剧增加。从网络攻击方看，仅需掌握少量互联网资产即可发起攻击，加剧了网络安全防御的被动局面。

面对IPv6带来的安全挑战，企业需要从技术层面和管理层面采取相应的措施。

技术层面的安全防护

1. 部署全面支持IPv6的安全产品：在基础网络、政企和商业网站、云平台、IDC/CDN等IPv6升级改造过程中，应同步部署支持IPv6的防火墙、IPS、WAF、抗DDoS等安全产品和设备。以奇安信智慧防火墙为例，它基于强劲性能与先进的AMP+架构支撑，集成访问控制、用户授权访问、虚拟系统、行为管理、应用层综合安全防护等覆盖IPv4网络及IPv6网络的功能，并能与奇安信威胁监测与分析系统（天眼）、态势感知与安全运营平台（NGSOC）、终端安全管理系统(天擎）等进行多项智能联动，形成云端感知、边界控制、终端协同的一体化防护平台体系。

2. 构建精细化安全防护体系：针对不同业务场景，如骨干网安全需求、LTE网络安全需求、云平台安全需求、IDC安全需求、CDN安全需求、DNS安全需求、5G融合场景安全需求、物联网融合场景安全需求等，企业需要根据典型业务场景IPv6安全需求，结合IPv6安全产品和服务，形成IPv6精细化安全防护体系。

管理层面的安全措施

1. 制定IPv6安全策略：企业需要制定明确的IPv6安全策略，包括访问控制策略、安全审计策略、应急响应策略等。同时，需要定期进行风险评估，做好重要系统网络安全风险监测预警和应急处置。

2. 加强人员培训：企业需要加强IPv6安全知识和技能培训，提升IPv6相关工作人员安全能力。可以通过开展IPv6网络安全攻防竞赛，强化IPv6网络安全人员实战能力。同时，建立产学研协同机制，推动下一代互联网安全创新发展。

IPv6改造方案

以重庆网信办发布的《互联网办公网络IPv6改造指南》为例，企业IPv6改造应遵循以下原则：

1. 双栈优先：网络改造原则上采用IPv4/IPv6双栈方式，鼓励有条件的用户采用IPv6单栈方式。

2. 最小变动：网络改造应基于既有设备和网络，尽可能让网络架构最小改动及设备最少替换。

3. 安全平稳：网络改造应统一规划、因地制宜、分步实施、安全稳妥，基础设施先行，终端和应用逐步改造，保障业务平滑切换。

具体改造步骤包括：

1. IPv6地址规划：根据企业网络规模和业务需求，合理规划IPv6地址空间。

2. VLAN规划：根据业务需求，合理划分VLAN，实现网络隔离和访问控制。

3. 设备配置：对网络设备（如防火墙、路由器、交换机等）进行IPv6配置，确保设备支持IPv6协议。

4. 实施步骤：按照规划，分阶段实施IPv6改造，先从核心网络开始，逐步扩展到边缘网络和终端设备。

5. 验收测试：完成改造后，进行全面的测试和验收，确保IPv6网络的稳定性和安全性。

安全防护建议

以天翼云边缘安全加速平台为例，企业可以采用以下安全防护措施：

1. 一键式网页外链转化：实现智能解析IPv6，提供客户无感知网页切换。

2. 网站页面一致性：确保IPv4/IPv6访问场景下，网页展示效果无明显变化。

3. 深度解析：提供多级链接请求的IPv6访问支持。

4. 安全防护能力：集成Web防护、CC防护、爬虫防护等多项能力。

5. 双栈支持：同时支持IPv4/IPv6双栈协议，实现无障碍通信。

6. DNS解析：支持IPv4及IPv6解析，根据客户端的IP协议，指定以何种协议回源。

7. IPv6标识：对HTML页面进行改写，在网站指定位置增加IPv6网络访问提示信息。

IPv6规模部署和应用是互联网演进升级的必然趋势，也是新形势下加快数字基础设施建设的重要内容。企业需要充分认识到IPv6网络安全管理的重要性，提前做好IPv6安全产品和服务的部署，为IPv6发展构筑安全防线。同时，企业还需要加强IPv6安全知识和技能培训，提升IPv6相关工作人员安全能力，以应对IPv6带来的安全挑战。