2019年末IPv6安全主要目標(biāo) 圖/中國信通院
今年,IPv6網(wǎng)絡(luò)安全保障能力要求再一次升級,新增災(zāi)備及恢復(fù)的要求��,提出IPv6安全產(chǎn)品的應(yīng)用性能驗證��,以及針對IPv6環(huán)境下的監(jiān)測預(yù)警����。
針對IPv6網(wǎng)絡(luò)安全保障要求的步步升級,在于國家大力推進IPv6規(guī)模部署行動計劃的背景下���,大量單位及企業(yè)通過購買IPv6改造設(shè)備以實現(xiàn)業(yè)務(wù)系統(tǒng)支持IPv6訪問。隨著IPv6網(wǎng)絡(luò)和業(yè)務(wù)的批量上線�����,IPv6 網(wǎng)絡(luò)攻擊事件開始頻繁出現(xiàn)���,IPv6 網(wǎng)絡(luò)安全問題相繼浮出水面�,影響范圍也呈現(xiàn)出向各行業(yè)領(lǐng)域擴大趨勢���。
中國信通院于2019年下半年發(fā)布的《IPv6網(wǎng)絡(luò)安全白皮書》(以下簡稱《白皮書》)統(tǒng)計指出,2019年上半年共監(jiān)測發(fā)現(xiàn)超過 9 萬起 IPv6 網(wǎng)絡(luò)攻擊�����,其中,攻擊對象覆蓋政府部門�、事業(yè)單位、教育機構(gòu)等單位���。
圖/《IPv6網(wǎng)絡(luò)安全白皮書》
《白皮書》還指出,IPv6相關(guān)硬件終端����、操作系統(tǒng)、軟件應(yīng)用等仍處部署應(yīng)用初期階段�����,尚不具備較為完善的安全機制,IPv6 安全漏洞客觀存在��。截止 2019 年 7 月���,CVE 漏洞庫中已收錄 IPv6 相關(guān)漏洞 381 條��,其中�����,CVSS 12 評分超過 7 的高危漏洞占比超過 50%。
圖/《IPv6網(wǎng)絡(luò)安全白皮書》
在知道創(chuàng)宇近年來涉及IPv6網(wǎng)絡(luò)的安全保障過程中�,所呈現(xiàn)出的安全態(tài)勢同樣不容樂觀。
2019年國家兩會期間���,知道創(chuàng)宇云防御平臺監(jiān)控數(shù)據(jù)顯示�����,來自IPv6的攻擊呈爆炸式增長�����,重保期間共攔截來自IPv6的網(wǎng)絡(luò)攻擊8000萬+。
2019年國慶期間���,知道創(chuàng)宇云防御平臺捕獲攔截了超過1276萬余次來自IPv6網(wǎng)絡(luò)的攻擊�����,攔截13141個惡意IPv6地址�����,毫無疑問���,IPv6網(wǎng)絡(luò)成為了新的攻擊焦點。
除了針對IPv6的網(wǎng)絡(luò)攻擊����,“天窗”問題也是IPv6升級改造過程中的一個典型狀況����。所謂“天窗”���,即IPv6單棧用戶訪問IPv6的業(yè)務(wù)系統(tǒng)時����,如果該站點有IPv4的外鏈�,可能導(dǎo)致IPv4外鏈的網(wǎng)站或資源出現(xiàn)響應(yīng)緩慢,部分內(nèi)容無法顯示�,部分功能無法使用等情況。
為解決此問題�����,IPv6改造設(shè)備通常都使用代理網(wǎng)關(guān)對不支持IPv6的外鏈網(wǎng)站進行代理訪問。然而�,知道創(chuàng)宇云安全大數(shù)據(jù)平臺發(fā)現(xiàn)��,市面上某類IPv6改造設(shè)備存在代理域名未驗證情況���,導(dǎo)致可以通過用戶網(wǎng)站代理訪問任何其它網(wǎng)站內(nèi)容���,且存在被惡意濫用情況。
通過構(gòu)造代理鏈接��,可以實現(xiàn)通過該域名訪問諸如博彩、色情�、反動����、暴恐網(wǎng)站的效果�,對惡意攻擊者來說也就實現(xiàn)了利用該網(wǎng)站域名宣傳非法內(nèi)容的目的。受影響的網(wǎng)站涵蓋各級人民政府�����、事業(yè)單位�、大型央企等�,其中還包括多個部委級網(wǎng)站����,對網(wǎng)站本身以及網(wǎng)站用戶都會造成巨大影響��,且目前已有部分網(wǎng)站頁面被搜索引擎收錄�,社會影響巨大���。
圖/知道創(chuàng)宇《某IPv6改造設(shè)備存在代理域名濫用情況》
圖/知道創(chuàng)宇《某部委網(wǎng)站IPv6改造設(shè)備存在代理域名濫用情況》
綜上所述���,安全問題已經(jīng)成為IPv6升級改造中不容忽略的重點��,知道創(chuàng)宇安全專家特別強調(diào)�����,IPv6對于國家下一代互聯(lián)網(wǎng)建設(shè)和企業(yè)自身的信息安全都有重大意義��,進行IPv6改造時建議合規(guī)性和安全性并重�����。
知道創(chuàng)宇I(lǐng)Pv6解決方案 更快更安全
業(yè)務(wù)系統(tǒng)不支持IPv6的情況(NAT轉(zhuǎn)換方案)
業(yè)務(wù)系統(tǒng)支持IPv6的情況(雙棧方案)
·快速擁有IPv6訪問能力
知道創(chuàng)宇云防御平臺可以幫助業(yè)務(wù)系統(tǒng)在已有支持IPv4用戶訪問的基礎(chǔ)上�����,幾分鐘內(nèi)快速支持IPv6訪客訪問���,業(yè)務(wù)系統(tǒng)無需進行任何改造��、不用添加任何硬件設(shè)備����。
·安全加速�,安全防護
知道創(chuàng)宇將IPv6流量轉(zhuǎn)換為IPv4流量,進行防御清洗���,將安全流量轉(zhuǎn)發(fā)給業(yè)務(wù)系統(tǒng)源站����,提供安全加速和安全防護能力����,保障業(yè)務(wù)系統(tǒng)的安全性。
·彈性資源�����,高可用性
知道創(chuàng)宇云防御平臺根據(jù)IPv6訪問態(tài)勢以及攻擊態(tài)勢��,動態(tài)調(diào)整資源�,確保IPv6正常訪問;提供跨可用區(qū)部署,單個可用區(qū)故障時�,迅速切換,保障IPv6轉(zhuǎn)換服務(wù)的業(yè)務(wù)連續(xù)性��。
·無感知解決IPv6天窗問題
針對“天窗”問題���,知道創(chuàng)宇云安全通過云端節(jié)點將返回頁面中的外鏈導(dǎo)向至IPv6/IPv4轉(zhuǎn)換節(jié)點���,使其代理訪問IPv4訪問請求,并將外鏈內(nèi)容轉(zhuǎn)換為IPv6返回給客戶端�����,讓客戶在無感知的情況下正常瀏覽網(wǎng)頁�����,有效保障用戶訪問體驗�����。
截至目前����,知道創(chuàng)宇已積極配合包括政府單位、國企央企�����、金融���、教育等各行各業(yè)的多家客戶進行了IPv6安全改造��,基于知道創(chuàng)宇充分的技術(shù)準(zhǔn)備和安全能力��,均圓滿完成對客戶業(yè)務(wù)系統(tǒng)IPv6/IPv4雙棧訪問的支持��,同時具備IPv6/IPv4流量的安全防護能力�����。在完成IPv6合規(guī)檢查同時���,保障業(yè)務(wù)系統(tǒng)安全不受影響。
部分IPv6安全改造客戶發(fā)來的感謝信
發(fā)展IPv6將推動互聯(lián)網(wǎng)的設(shè)計�、管理、運營和創(chuàng)新進入新階段��,也是發(fā)展5G�、云計算、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新興應(yīng)用���,實現(xiàn)萬物互聯(lián)的基礎(chǔ)條件��。更重要的�����,IPv6的安全挑戰(zhàn)也是我國下一代互聯(lián)網(wǎng)建設(shè)正面臨的客觀問題�����。知道創(chuàng)宇建議企業(yè)用戶應(yīng)及時選擇更具備安全防御成效的IPv4/IPv6雙棧云防御服務(wù)方案���,在安全風(fēng)險到來之前掌握主動性,提早建立堅實的網(wǎng)絡(luò)安全防線�����。在此��,知道創(chuàng)宇也將繼續(xù)全力幫助企事業(yè)單位和互聯(lián)網(wǎng)企業(yè)積極響應(yīng)國家號召��,抓住發(fā)展機遇��,提供更安全的IPv6互聯(lián)網(wǎng)服務(wù)�����。
