2019年末IPv6安全主要目標(biāo) 圖/中國信通院
今年,IPv6網(wǎng)絡(luò)安全保障能力要求再一次升級,新增災(zāi)備及恢復(fù)的要求����,提出IPv6安全產(chǎn)品的應(yīng)用性能驗證��,以及針對IPv6環(huán)境下的監(jiān)測預(yù)警。
針對IPv6網(wǎng)絡(luò)安全保障要求的步步升級����,在于國家大力推進(jìn)IPv6規(guī)模部署行動計劃的背景下,大量單位及企業(yè)通過購買IPv6改造設(shè)備以實現(xiàn)業(yè)務(wù)系統(tǒng)支持IPv6訪問��。隨著IPv6網(wǎng)絡(luò)和業(yè)務(wù)的批量上線��,IPv6 網(wǎng)絡(luò)攻擊事件開始頻繁出現(xiàn)�,IPv6 網(wǎng)絡(luò)安全問題相繼浮出水面,影響范圍也呈現(xiàn)出向各行業(yè)領(lǐng)域擴大趨勢�。
中國信通院于2019年下半年發(fā)布的《IPv6網(wǎng)絡(luò)安全白皮書》(以下簡稱《白皮書》)統(tǒng)計指出,2019年上半年共監(jiān)測發(fā)現(xiàn)超過 9 萬起 IPv6 網(wǎng)絡(luò)攻擊����,其中,攻擊對象覆蓋政府部門����、事業(yè)單位、教育機構(gòu)等單位�。
圖/《IPv6網(wǎng)絡(luò)安全白皮書》
《白皮書》還指出,IPv6相關(guān)硬件終端�����、操作系統(tǒng)、軟件應(yīng)用等仍處部署應(yīng)用初期階段�,尚不具備較為完善的安全機制,IPv6 安全漏洞客觀存在��。截止 2019 年 7 月���,CVE 漏洞庫中已收錄 IPv6 相關(guān)漏洞 381 條��,其中�,CVSS 12 評分超過 7 的高危漏洞占比超過 50%����。
圖/《IPv6網(wǎng)絡(luò)安全白皮書》
在知道創(chuàng)宇近年來涉及IPv6網(wǎng)絡(luò)的安全保障過程中,所呈現(xiàn)出的安全態(tài)勢同樣不容樂觀�����。
2019年國家兩會期間���,知道創(chuàng)宇云防御平臺監(jiān)控數(shù)據(jù)顯示,來自IPv6的攻擊呈爆炸式增長��,重保期間共攔截來自IPv6的網(wǎng)絡(luò)攻擊8000萬+。
2019年國慶期間�����,知道創(chuàng)宇云防御平臺捕獲攔截了超過1276萬余次來自IPv6網(wǎng)絡(luò)的攻擊�,攔截13141個惡意IPv6地址,毫無疑問�,IPv6網(wǎng)絡(luò)成為了新的攻擊焦點。
除了針對IPv6的網(wǎng)絡(luò)攻擊����,“天窗”問題也是IPv6升級改造過程中的一個典型狀況。所謂“天窗”���,即IPv6單棧用戶訪問IPv6的業(yè)務(wù)系統(tǒng)時�����,如果該站點有IPv4的外鏈��,可能導(dǎo)致IPv4外鏈的網(wǎng)站或資源出現(xiàn)響應(yīng)緩慢�,部分內(nèi)容無法顯示���,部分功能無法使用等情況����。
為解決此問題,IPv6改造設(shè)備通常都使用代理網(wǎng)關(guān)對不支持IPv6的外鏈網(wǎng)站進(jìn)行代理訪問�。然而,知道創(chuàng)宇云安全大數(shù)據(jù)平臺發(fā)現(xiàn)�����,市面上某類IPv6改造設(shè)備存在代理域名未驗證情況�����,導(dǎo)致可以通過用戶網(wǎng)站代理訪問任何其它網(wǎng)站內(nèi)容���,且存在被惡意濫用情況�����。
通過構(gòu)造代理鏈接����,可以實現(xiàn)通過該域名訪問諸如博彩���、色情�����、反動���、暴恐網(wǎng)站的效果,對惡意攻擊者來說也就實現(xiàn)了利用該網(wǎng)站域名宣傳非法內(nèi)容的目的�。受影響的網(wǎng)站涵蓋各級人民政府、事業(yè)單位��、大型央企等����,其中還包括多個部委級網(wǎng)站,對網(wǎng)站本身以及網(wǎng)站用戶都會造成巨大影響�,且目前已有部分網(wǎng)站頁面被搜索引擎收錄,社會影響巨大�。
圖/知道創(chuàng)宇《某IPv6改造設(shè)備存在代理域名濫用情況》
圖/知道創(chuàng)宇《某部委網(wǎng)站IPv6改造設(shè)備存在代理域名濫用情況》
綜上所述,安全問題已經(jīng)成為IPv6升級改造中不容忽略的重點��,知道創(chuàng)宇安全專家特別強調(diào)��,IPv6對于國家下一代互聯(lián)網(wǎng)建設(shè)和企業(yè)自身的信息安全都有重大意義���,進(jìn)行IPv6改造時建議合規(guī)性和安全性并重����。
知道創(chuàng)宇I(lǐng)Pv6解決方案 更快更安全
業(yè)務(wù)系統(tǒng)不支持IPv6的情況(NAT轉(zhuǎn)換方案)
業(yè)務(wù)系統(tǒng)支持IPv6的情況(雙棧方案)
·快速擁有IPv6訪問能力
知道創(chuàng)宇云防御平臺可以幫助業(yè)務(wù)系統(tǒng)在已有支持IPv4用戶訪問的基礎(chǔ)上,幾分鐘內(nèi)快速支持IPv6訪客訪問���,業(yè)務(wù)系統(tǒng)無需進(jìn)行任何改造����、不用添加任何硬件設(shè)備����。
·安全加速,安全防護(hù)
知道創(chuàng)宇將IPv6流量轉(zhuǎn)換為IPv4流量�,進(jìn)行防御清洗,將安全流量轉(zhuǎn)發(fā)給業(yè)務(wù)系統(tǒng)源站���,提供安全加速和安全防護(hù)能力�����,保障業(yè)務(wù)系統(tǒng)的安全性��。
·彈性資源���,高可用性
知道創(chuàng)宇云防御平臺根據(jù)IPv6訪問態(tài)勢以及攻擊態(tài)勢����,動態(tài)調(diào)整資源����,確保IPv6正常訪問����;提供跨可用區(qū)部署,單個可用區(qū)故障時���,迅速切換�,保障IPv6轉(zhuǎn)換服務(wù)的業(yè)務(wù)連續(xù)性��。
·無感知解決IPv6天窗問題
針對“天窗”問題�����,知道創(chuàng)宇云安全通過云端節(jié)點將返回頁面中的外鏈導(dǎo)向至IPv6/IPv4轉(zhuǎn)換節(jié)點���,使其代理訪問IPv4訪問請求��,并將外鏈內(nèi)容轉(zhuǎn)換為IPv6返回給客戶端����,讓客戶在無感知的情況下正常瀏覽網(wǎng)頁,有效保障用戶訪問體驗��。
截至目前��,知道創(chuàng)宇已積極配合包括政府單位��、國企央企�、金融、教育等各行各業(yè)的多家客戶進(jìn)行了IPv6安全改造��,基于知道創(chuàng)宇充分的技術(shù)準(zhǔn)備和安全能力����,均圓滿完成對客戶業(yè)務(wù)系統(tǒng)IPv6/IPv4雙棧訪問的支持,同時具備IPv6/IPv4流量的安全防護(hù)能力��。在完成IPv6合規(guī)檢查同時����,保障業(yè)務(wù)系統(tǒng)安全不受影響。
部分IPv6安全改造客戶發(fā)來的感謝信
發(fā)展IPv6將推動互聯(lián)網(wǎng)的設(shè)計����、管理�����、運營和創(chuàng)新進(jìn)入新階段�����,也是發(fā)展5G���、云計算���、物聯(lián)網(wǎng)��、工業(yè)互聯(lián)網(wǎng)等新興應(yīng)用����,實現(xiàn)萬物互聯(lián)的基礎(chǔ)條件�。更重要的,IPv6的安全挑戰(zhàn)也是我國下一代互聯(lián)網(wǎng)建設(shè)正面臨的客觀問題��。知道創(chuàng)宇建議企業(yè)用戶應(yīng)及時選擇更具備安全防御成效的IPv4/IPv6雙棧云防御服務(wù)方案���,在安全風(fēng)險到來之前掌握主動性���,提早建立堅實的網(wǎng)絡(luò)安全防線�。在此��,知道創(chuàng)宇也將繼續(xù)全力幫助企事業(yè)單位和互聯(lián)網(wǎng)企業(yè)積極響應(yīng)國家號召���,抓住發(fā)展機遇���,提供更安全的IPv6互聯(lián)網(wǎng)服務(wù)。
