2019年末IPv6安全主要目標(biāo)    圖/中國信通院

今年,IPv6網(wǎng)絡(luò)安全保障能力要求再一次升級,新增災(zāi)備及恢復(fù)的要求,提出IPv6安全產(chǎn)品的應(yīng)用性能驗證,以及針對IPv6環(huán)境下的監(jiān)測預(yù)警。

針對IPv6網(wǎng)絡(luò)安全保障要求的步步升級,在于國家大力推進(jìn)IPv6規(guī)模部署行動計劃的背景下,大量單位及企業(yè)通過購買IPv6改造設(shè)備以實現(xiàn)業(yè)務(wù)系統(tǒng)支持IPv6訪問。隨著IPv6網(wǎng)絡(luò)和業(yè)務(wù)的批量上線,IPv6 網(wǎng)絡(luò)攻擊事件開始頻繁出現(xiàn),IPv6 網(wǎng)絡(luò)安全問題相繼浮出水面,影響范圍也呈現(xiàn)出向各行業(yè)領(lǐng)域擴大趨勢。

中國信通院于2019年下半年發(fā)布的《IPv6網(wǎng)絡(luò)安全白皮書》(以下簡稱《白皮書》)統(tǒng)計指出,2019年上半年共監(jiān)測發(fā)現(xiàn)超過 9 萬起 IPv6 網(wǎng)絡(luò)攻擊,其中,攻擊對象覆蓋政府部門、事業(yè)單位、教育機構(gòu)等單位。

圖/《IPv6網(wǎng)絡(luò)安全白皮書》

《白皮書》還指出,IPv6相關(guān)硬件終端、操作系統(tǒng)、軟件應(yīng)用等仍處部署應(yīng)用初期階段,尚不具備較為完善的安全機制,IPv6 安全漏洞客觀存在。截止 2019 年 7 月,CVE 漏洞庫中已收錄 IPv6 相關(guān)漏洞 381 條,其中,CVSS 12 評分超過 7 的高危漏洞占比超過 50%。

圖/《IPv6網(wǎng)絡(luò)安全白皮書》

在知道創(chuàng)宇近年來涉及IPv6網(wǎng)絡(luò)的安全保障過程中,所呈現(xiàn)出的安全態(tài)勢同樣不容樂觀。

2019年國家兩會期間,知道創(chuàng)宇云防御平臺監(jiān)控數(shù)據(jù)顯示,來自IPv6的攻擊呈爆炸式增長,重保期間共攔截來自IPv6的網(wǎng)絡(luò)攻擊8000萬+。

2019年國慶期間,知道創(chuàng)宇云防御平臺捕獲攔截了超過1276萬余次來自IPv6網(wǎng)絡(luò)的攻擊,攔截13141個惡意IPv6地址,毫無疑問,IPv6網(wǎng)絡(luò)成為了新的攻擊焦點。

除了針對IPv6的網(wǎng)絡(luò)攻擊,“天窗”問題也是IPv6升級改造過程中的一個典型狀況。所謂“天窗”,即IPv6單棧用戶訪問IPv6的業(yè)務(wù)系統(tǒng)時,如果該站點有IPv4的外鏈,可能導(dǎo)致IPv4外鏈的網(wǎng)站或資源出現(xiàn)響應(yīng)緩慢,部分內(nèi)容無法顯示,部分功能無法使用等情況。

為解決此問題,IPv6改造設(shè)備通常都使用代理網(wǎng)關(guān)對不支持IPv6的外鏈網(wǎng)站進(jìn)行代理訪問。然而,知道創(chuàng)宇云安全大數(shù)據(jù)平臺發(fā)現(xiàn),市面上某類IPv6改造設(shè)備存在代理域名未驗證情況,導(dǎo)致可以通過用戶網(wǎng)站代理訪問任何其它網(wǎng)站內(nèi)容,且存在被惡意濫用情況。

通過構(gòu)造代理鏈接,可以實現(xiàn)通過該域名訪問諸如博彩、色情、反動、暴恐網(wǎng)站的效果,對惡意攻擊者來說也就實現(xiàn)了利用該網(wǎng)站域名宣傳非法內(nèi)容的目的。受影響的網(wǎng)站涵蓋各級人民政府、事業(yè)單位、大型央企等,其中還包括多個部委級網(wǎng)站,對網(wǎng)站本身以及網(wǎng)站用戶都會造成巨大影響,且目前已有部分網(wǎng)站頁面被搜索引擎收錄,社會影響巨大。

圖/知道創(chuàng)宇《某IPv6改造設(shè)備存在代理域名濫用情況》

圖/知道創(chuàng)宇《某部委網(wǎng)站IPv6改造設(shè)備存在代理域名濫用情況》

綜上所述,安全問題已經(jīng)成為IPv6升級改造中不容忽略的重點,知道創(chuàng)宇安全專家特別強調(diào),IPv6對于國家下一代互聯(lián)網(wǎng)建設(shè)和企業(yè)自身的信息安全都有重大意義,進(jìn)行IPv6改造時建議合規(guī)性和安全性并重。

知道創(chuàng)宇I(lǐng)Pv6解決方案 更快更安全

業(yè)務(wù)系統(tǒng)不支持IPv6的情況(NAT轉(zhuǎn)換方案)

業(yè)務(wù)系統(tǒng)支持IPv6的情況(雙棧方案)

·快速擁有IPv6訪問能力

知道創(chuàng)宇云防御平臺可以幫助業(yè)務(wù)系統(tǒng)在已有支持IPv4用戶訪問的基礎(chǔ)上,幾分鐘內(nèi)快速支持IPv6訪客訪問,業(yè)務(wù)系統(tǒng)無需進(jìn)行任何改造、不用添加任何硬件設(shè)備。

·安全加速,安全防護(hù)

知道創(chuàng)宇將IPv6流量轉(zhuǎn)換為IPv4流量,進(jìn)行防御清洗,將安全流量轉(zhuǎn)發(fā)給業(yè)務(wù)系統(tǒng)源站,提供安全加速和安全防護(hù)能力,保障業(yè)務(wù)系統(tǒng)的安全性。

·彈性資源,高可用性

知道創(chuàng)宇云防御平臺根據(jù)IPv6訪問態(tài)勢以及攻擊態(tài)勢,動態(tài)調(diào)整資源,確保IPv6正常訪問;提供跨可用區(qū)部署,單個可用區(qū)故障時,迅速切換,保障IPv6轉(zhuǎn)換服務(wù)的業(yè)務(wù)連續(xù)性。

·無感知解決IPv6天窗問題

針對“天窗”問題,知道創(chuàng)宇云安全通過云端節(jié)點將返回頁面中的外鏈導(dǎo)向至IPv6/IPv4轉(zhuǎn)換節(jié)點,使其代理訪問IPv4訪問請求,并將外鏈內(nèi)容轉(zhuǎn)換為IPv6返回給客戶端,讓客戶在無感知的情況下正常瀏覽網(wǎng)頁,有效保障用戶訪問體驗。

截至目前,知道創(chuàng)宇已積極配合包括政府單位、國企央企、金融、教育等各行各業(yè)的多家客戶進(jìn)行了IPv6安全改造,基于知道創(chuàng)宇充分的技術(shù)準(zhǔn)備和安全能力,均圓滿完成對客戶業(yè)務(wù)系統(tǒng)IPv6/IPv4雙棧訪問的支持,同時具備IPv6/IPv4流量的安全防護(hù)能力。在完成IPv6合規(guī)檢查同時,保障業(yè)務(wù)系統(tǒng)安全不受影響。

部分IPv6安全改造客戶發(fā)來的感謝信

發(fā)展IPv6將推動互聯(lián)網(wǎng)的設(shè)計、管理、運營和創(chuàng)新進(jìn)入新階段,也是發(fā)展5G、云計算、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新興應(yīng)用,實現(xiàn)萬物互聯(lián)的基礎(chǔ)條件。更重要的,IPv6的安全挑戰(zhàn)也是我國下一代互聯(lián)網(wǎng)建設(shè)正面臨的客觀問題。知道創(chuàng)宇建議企業(yè)用戶應(yīng)及時選擇更具備安全防御成效的IPv4/IPv6雙棧云防御服務(wù)方案,在安全風(fēng)險到來之前掌握主動性,提早建立堅實的網(wǎng)絡(luò)安全防線。在此,知道創(chuàng)宇也將繼續(xù)全力幫助企事業(yè)單位和互聯(lián)網(wǎng)企業(yè)積極響應(yīng)國家號召,抓住發(fā)展機遇,提供更安全的IPv6互聯(lián)網(wǎng)服務(wù)。

分享到

xiesc

相關(guān)推薦