2019年末IPv6安全主要目標(biāo) 圖/中國(guó)信通院
今年�,IPv6網(wǎng)絡(luò)安全保障能力要求再一次升級(jí),新增災(zāi)備及恢復(fù)的要求��,提出IPv6安全產(chǎn)品的應(yīng)用性能驗(yàn)證,以及針對(duì)IPv6環(huán)境下的監(jiān)測(cè)預(yù)警�。
針對(duì)IPv6網(wǎng)絡(luò)安全保障要求的步步升級(jí),在于國(guó)家大力推進(jìn)IPv6規(guī)模部署行動(dòng)計(jì)劃的背景下����,大量單位及企業(yè)通過購(gòu)買IPv6改造設(shè)備以實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)支持IPv6訪問。隨著IPv6網(wǎng)絡(luò)和業(yè)務(wù)的批量上線��,IPv6 網(wǎng)絡(luò)攻擊事件開始頻繁出現(xiàn)�����,IPv6 網(wǎng)絡(luò)安全問題相繼浮出水面����,影響范圍也呈現(xiàn)出向各行業(yè)領(lǐng)域擴(kuò)大趨勢(shì)�����。
中國(guó)信通院于2019年下半年發(fā)布的《IPv6網(wǎng)絡(luò)安全白皮書》(以下簡(jiǎn)稱《白皮書》)統(tǒng)計(jì)指出�,2019年上半年共監(jiān)測(cè)發(fā)現(xiàn)超過 9 萬起 IPv6 網(wǎng)絡(luò)攻擊��,其中��,攻擊對(duì)象覆蓋政府部門�����、事業(yè)單位�、教育機(jī)構(gòu)等單位。
圖/《IPv6網(wǎng)絡(luò)安全白皮書》
《白皮書》還指出��,IPv6相關(guān)硬件終端����、操作系統(tǒng)、軟件應(yīng)用等仍處部署應(yīng)用初期階段���,尚不具備較為完善的安全機(jī)制����,IPv6 安全漏洞客觀存在。截止 2019 年 7 月�����,CVE 漏洞庫中已收錄 IPv6 相關(guān)漏洞 381 條���,其中,CVSS 12 評(píng)分超過 7 的高危漏洞占比超過 50%�����。
圖/《IPv6網(wǎng)絡(luò)安全白皮書》
在知道創(chuàng)宇近年來涉及IPv6網(wǎng)絡(luò)的安全保障過程中����,所呈現(xiàn)出的安全態(tài)勢(shì)同樣不容樂觀。
2019年國(guó)家兩會(huì)期間�,知道創(chuàng)宇云防御平臺(tái)監(jiān)控?cái)?shù)據(jù)顯示,來自IPv6的攻擊呈爆炸式增長(zhǎng)���,重保期間共攔截來自IPv6的網(wǎng)絡(luò)攻擊8000萬+�。
2019年國(guó)慶期間�����,知道創(chuàng)宇云防御平臺(tái)捕獲攔截了超過1276萬余次來自IPv6網(wǎng)絡(luò)的攻擊,攔截13141個(gè)惡意IPv6地址���,毫無疑問���,IPv6網(wǎng)絡(luò)成為了新的攻擊焦點(diǎn)。
除了針對(duì)IPv6的網(wǎng)絡(luò)攻擊��,“天窗”問題也是IPv6升級(jí)改造過程中的一個(gè)典型狀況��。所謂“天窗”�,即IPv6單棧用戶訪問IPv6的業(yè)務(wù)系統(tǒng)時(shí),如果該站點(diǎn)有IPv4的外鏈�����,可能導(dǎo)致IPv4外鏈的網(wǎng)站或資源出現(xiàn)響應(yīng)緩慢�,部分內(nèi)容無法顯示,部分功能無法使用等情況���。
為解決此問題���,IPv6改造設(shè)備通常都使用代理網(wǎng)關(guān)對(duì)不支持IPv6的外鏈網(wǎng)站進(jìn)行代理訪問��。然而���,知道創(chuàng)宇云安全大數(shù)據(jù)平臺(tái)發(fā)現(xiàn),市面上某類IPv6改造設(shè)備存在代理域名未驗(yàn)證情況����,導(dǎo)致可以通過用戶網(wǎng)站代理訪問任何其它網(wǎng)站內(nèi)容�����,且存在被惡意濫用情況�。
通過構(gòu)造代理鏈接,可以實(shí)現(xiàn)通過該域名訪問諸如博彩���、色情����、反動(dòng)�、暴恐網(wǎng)站的效果,對(duì)惡意攻擊者來說也就實(shí)現(xiàn)了利用該網(wǎng)站域名宣傳非法內(nèi)容的目的���。受影響的網(wǎng)站涵蓋各級(jí)人民政府�����、事業(yè)單位�����、大型央企等�,其中還包括多個(gè)部委級(jí)網(wǎng)站,對(duì)網(wǎng)站本身以及網(wǎng)站用戶都會(huì)造成巨大影響�,且目前已有部分網(wǎng)站頁面被搜索引擎收錄,社會(huì)影響巨大���。
圖/知道創(chuàng)宇《某IPv6改造設(shè)備存在代理域名濫用情況》
圖/知道創(chuàng)宇《某部委網(wǎng)站IPv6改造設(shè)備存在代理域名濫用情況》
綜上所述��,安全問題已經(jīng)成為IPv6升級(jí)改造中不容忽略的重點(diǎn)��,知道創(chuàng)宇安全專家特別強(qiáng)調(diào)�����,IPv6對(duì)于國(guó)家下一代互聯(lián)網(wǎng)建設(shè)和企業(yè)自身的信息安全都有重大意義���,進(jìn)行IPv6改造時(shí)建議合規(guī)性和安全性并重�����。
知道創(chuàng)宇I(lǐng)Pv6解決方案 更快更安全
業(yè)務(wù)系統(tǒng)不支持IPv6的情況(NAT轉(zhuǎn)換方案)
業(yè)務(wù)系統(tǒng)支持IPv6的情況(雙棧方案)
·快速擁有IPv6訪問能力
知道創(chuàng)宇云防御平臺(tái)可以幫助業(yè)務(wù)系統(tǒng)在已有支持IPv4用戶訪問的基礎(chǔ)上��,幾分鐘內(nèi)快速支持IPv6訪客訪問�,業(yè)務(wù)系統(tǒng)無需進(jìn)行任何改造�����、不用添加任何硬件設(shè)備�����。
·安全加速�����,安全防護(hù)
知道創(chuàng)宇將IPv6流量轉(zhuǎn)換為IPv4流量�����,進(jìn)行防御清洗��,將安全流量轉(zhuǎn)發(fā)給業(yè)務(wù)系統(tǒng)源站���,提供安全加速和安全防護(hù)能力�����,保障業(yè)務(wù)系統(tǒng)的安全性����。
·彈性資源�,高可用性
知道創(chuàng)宇云防御平臺(tái)根據(jù)IPv6訪問態(tài)勢(shì)以及攻擊態(tài)勢(shì),動(dòng)態(tài)調(diào)整資源���,確保IPv6正常訪問��;提供跨可用區(qū)部署���,單個(gè)可用區(qū)故障時(shí),迅速切換��,保障IPv6轉(zhuǎn)換服務(wù)的業(yè)務(wù)連續(xù)性�����。
·無感知解決IPv6天窗問題
針對(duì)“天窗”問題��,知道創(chuàng)宇云安全通過云端節(jié)點(diǎn)將返回頁面中的外鏈導(dǎo)向至IPv6/IPv4轉(zhuǎn)換節(jié)點(diǎn),使其代理訪問IPv4訪問請(qǐng)求�,并將外鏈內(nèi)容轉(zhuǎn)換為IPv6返回給客戶端,讓客戶在無感知的情況下正常瀏覽網(wǎng)頁����,有效保障用戶訪問體驗(yàn)。
截至目前�����,知道創(chuàng)宇已積極配合包括政府單位����、國(guó)企央企、金融�����、教育等各行各業(yè)的多家客戶進(jìn)行了IPv6安全改造��,基于知道創(chuàng)宇充分的技術(shù)準(zhǔn)備和安全能力�,均圓滿完成對(duì)客戶業(yè)務(wù)系統(tǒng)IPv6/IPv4雙棧訪問的支持�����,同時(shí)具備IPv6/IPv4流量的安全防護(hù)能力。在完成IPv6合規(guī)檢查同時(shí)����,保障業(yè)務(wù)系統(tǒng)安全不受影響。
部分IPv6安全改造客戶發(fā)來的感謝信
發(fā)展IPv6將推動(dòng)互聯(lián)網(wǎng)的設(shè)計(jì)�、管理、運(yùn)營(yíng)和創(chuàng)新進(jìn)入新階段�����,也是發(fā)展5G�����、云計(jì)算�、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新興應(yīng)用�����,實(shí)現(xiàn)萬物互聯(lián)的基礎(chǔ)條件���。更重要的��,IPv6的安全挑戰(zhàn)也是我國(guó)下一代互聯(lián)網(wǎng)建設(shè)正面臨的客觀問題��。知道創(chuàng)宇建議企業(yè)用戶應(yīng)及時(shí)選擇更具備安全防御成效的IPv4/IPv6雙棧云防御服務(wù)方案�,在安全風(fēng)險(xiǎn)到來之前掌握主動(dòng)性,提早建立堅(jiān)實(shí)的網(wǎng)絡(luò)安全防線����。在此,知道創(chuàng)宇也將繼續(xù)全力幫助企事業(yè)單位和互聯(lián)網(wǎng)企業(yè)積極響應(yīng)國(guó)家號(hào)召��,抓住發(fā)展機(jī)遇�����,提供更安全的IPv6互聯(lián)網(wǎng)服務(wù)�。
