IPv6規(guī)模部署下安全技術(shù)七問七答

　　IPv6因地址空間巨大，在應(yīng)對(duì)部分安全攻擊方面具有天然優(yōu)勢(shì)，在可溯源性、反黑客嗅探能力、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議以及端到端的IPSec安全傳輸能力等方面提升了網(wǎng)絡(luò)安全性。

　　針對(duì)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》，華為安全給出了IPv6規(guī)模部署下網(wǎng)絡(luò)安全防護(hù)的詳盡解讀，承接上期IPv6行業(yè)影響，本期聚焦IPv6安全技術(shù)。

　　可溯源性

　　IPv6巨大的地址空間為每個(gè)網(wǎng)絡(luò)設(shè)備分配了一個(gè)獨(dú)一無(wú)二的網(wǎng)絡(luò)地址，不需要像在IPv4網(wǎng)絡(luò)中通過NAT解決地址不足問題，從而有利于事后追查回溯，提高安全的保障性。

　　反黑客嗅探能力

　　由于龐大的IPv6地址，使得在IPv4網(wǎng)絡(luò)中常常被黑客使用的嗅探掃描在IPv6網(wǎng)絡(luò)中變得更加困難。

　　NDP & SEND

　　在IPv6中，ARP的功能被鄰居發(fā)現(xiàn)協(xié)議(NDP)所代替。鄰居發(fā)現(xiàn)協(xié)議通過發(fā)現(xiàn)鏈路上的其他節(jié)點(diǎn)，判斷其他節(jié)點(diǎn)的地址，尋找可用路由。對(duì)比ARP， NDP僅在鏈路層實(shí)現(xiàn)，更加獨(dú)立于傳輸介質(zhì)。下一代互聯(lián)網(wǎng)的安全鄰居發(fā)現(xiàn)(SEND)協(xié)議通過獨(dú)立于IPSec的另一種加密方式，保證了傳輸?shù)陌踩浴?/p>

　　端到端IPSec安全傳輸能力

　　IPSec為IPv6網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)提供了數(shù)據(jù)源認(rèn)證、完整性和保密性的能力，實(shí)現(xiàn)端到端的安全加密。

　　Q1IPv6新增的安全特性與IPv4有什么區(qū)別?

　　IPv6網(wǎng)絡(luò)的安全，由于僅是IP包頭、尋址方式發(fā)生了變化，內(nèi)置了端到端的安全機(jī)制，所以相對(duì)IPv4，在安全方面IPv6對(duì)當(dāng)前的各種安全風(fēng)險(xiǎn)的防范并沒有太大的提高。

　　Q2基于安全性考慮，IPv4網(wǎng)絡(luò)使用NAT技術(shù)來隱藏內(nèi)網(wǎng)IP地址，IPv6網(wǎng)絡(luò)是否也需要類似技術(shù)來提升安全性?

　　IPv6的NPT(Network Prefix Translation)(RFC6296)協(xié)議可以實(shí)現(xiàn)與IPv4 NAT類似的功能，允許IPv6地址的1：1映射，達(dá)到隱藏內(nèi)部IPv6地址的效果。

　　Q3對(duì)于應(yīng)用層攻擊，IPv6網(wǎng)絡(luò)的防御手段和方式都有哪些影響?

　　應(yīng)用層防御功能一般包括協(xié)議識(shí)別、IPS、反病毒、URL過濾等，主要檢測(cè)報(bào)文的應(yīng)用層負(fù)載，幾乎不受網(wǎng)絡(luò)層協(xié)議IPv4/IPv6影響，因此，大部分傳統(tǒng)IPv4協(xié)議下的應(yīng)用層安全能力在IPv6網(wǎng)絡(luò)中不受影響。

　　但有少部分IPv4網(wǎng)絡(luò)協(xié)議在IPv6網(wǎng)絡(luò)下自身需要發(fā)生了變化，比如DNS協(xié)議升級(jí)到DNSv6，那么對(duì)應(yīng)的應(yīng)用層安全檢測(cè)需要根據(jù)協(xié)議變化進(jìn)行調(diào)整。

　　Q4IPv6在擴(kuò)展頭中增加了IPSec的端到端加密能力，如果應(yīng)用開啟了此項(xiàng)功能，那么網(wǎng)絡(luò)安全設(shè)備該如何檢測(cè)和防御加密流量?

　　一般情況下，網(wǎng)絡(luò)安全設(shè)備無(wú)法解密IPSec加密流量，僅能基于IP地址來控制。但從目前的情況來看，這種“內(nèi)嵌”的IPSec需要使用密鑰分發(fā)技術(shù)，總體上并不成熟，管理成本高，另外，由于網(wǎng)絡(luò)安全設(shè)備正常是無(wú)法解密IPSec流量，防火墻等網(wǎng)絡(luò)安全設(shè)備就無(wú)法在網(wǎng)絡(luò)&應(yīng)用層來檢測(cè)IPSec流量，從某種意義上，系統(tǒng)的安全性得不到完整的保證。對(duì)于一般企業(yè)應(yīng)用，基于管理成本和安全性考慮，建議仍使用防火墻實(shí)現(xiàn)IPSec VPN加解密，并在網(wǎng)關(guān)位置進(jìn)行IPS、狀態(tài)防火墻等安全檢查，待技術(shù)成熟后再部署端到端加密。

　　Q5SSL代理功能在IPv6協(xié)議下是否受到影響?

　　SSL代理不依賴于網(wǎng)絡(luò)層的具體協(xié)議，仍可以對(duì)IPv6 SSL加密流量實(shí)現(xiàn)解密。

　　Q6對(duì)于IPv6網(wǎng)絡(luò)，如何通過防火墻來實(shí)現(xiàn)安全策略管理，與IPv4的安全策略有何不同?

　　IPv6與IPv4的安全策略管控是一樣的，仍需要基于ACL的五元組來逐條配置，僅是IPv6地址變長(zhǎng)，使得策略配置更加復(fù)雜。

　　Q7在現(xiàn)有安全設(shè)備上開啟IPv4/IPv6雙棧功能后，在功能和性能上會(huì)對(duì)IPv4業(yè)務(wù)有何影響?

　　開啟IPv4/IPv6雙棧一般不會(huì)對(duì)安全設(shè)備的功能產(chǎn)生影響，主要影響設(shè)備的性能，因?yàn)镮Pv6協(xié)議棧會(huì)擠占IPv4業(yè)務(wù)的CPU和內(nèi)存等資源，導(dǎo)致現(xiàn)有的IPv4業(yè)務(wù)在會(huì)話表容量、新建速率、吞吐率上會(huì)出現(xiàn)不同程度的下降。建議在升級(jí)/開啟IPv4/IPv6雙棧前評(píng)估現(xiàn)有安全設(shè)備的處理能力，必要時(shí)可以替換現(xiàn)有安全設(shè)備，避免影響現(xiàn)有IPv4業(yè)務(wù)。