IPv6规模化部署下互联网企业IPv6安全升级与实践

作者: 互联信息  发布:2019-09-29

IPv6各种过渡技术(例如隧道技术、翻译技术、IPv6/IPv4双栈技术等)安全控制措施默认情况下并不完善,需要结合认证、加密、完整性、访问控制等其他方案综合控制风险。

    产业链有望迎来新机会,重点关注网络设备商、企业网设备商、终端厂商

3、IPv6随着政策牵引以及5G、IoT、云计算等对于IP地址需求大的业务不断成熟,会迎来一个快速发展期, IPv6安全产品及检测防护升级需要重点投入并提前READY,确保新一代IPv6网络安全风险可控。返回搜狐,查看更多

    新时代互联网发展之路--IPv6迫不及待

阿里巴巴 IPv4 到 IPv6 的演进以及 IPv6 规模化部分改造遵循先外部后内部,以双栈技术为过渡的原则。

    计划指出用5到10年时间,我国要建成全球最大规模的IPv6商用网络,其中2018年末,IPv6活跃用户数达2亿,互联网用户中的占比不低于20%;2020年IPv6用户数达5亿,互联网用户中的占比不低于50%。根据APNIC IPv6统计数据,中国过去五年IPv6采用率都在2%以下,可见发展空间巨大。 文件指出,IPv6推进遵循典型应用先行、移动固定并举、增量带动存量的发展路径。首先,典型应用(门户、社交、视频、电商、搜索等)、政府、中央媒体、中央企业等网站升级全面支持IPv6;其次,推动电信运营商的移动和固网、广电网络,以及终端网络设备进行升级改造支持IPv6;再次,在数据中心、CDN、DNS系统、监测平台上加快改造;最后,在网络安全系统、地址管理、安全防护以及新兴关键技术上强化升级和突破。我们认为,IPv6的规模推进,要求应用、内容、网络、终端、安全全面升级,产业链相关环节有望迎来新机遇。

从政策方面来看,自去年11月国务院颁布针对互联网协议第六版(Internet Protocol Version 6,下称“IPv6”)的规模部署行动计划以来,如何围绕IPv6升级安全系统也成为各行业热议的话题。9月6日,在2018 ISC互联网安全大会上,阿里安全猎户座实验室高级专家东帆带来了《Pv6规模化部署下互联网企业IPv6安全升级与实践》的演讲,分享了阿里巴巴针对IPv6的改造及安全解决方案。

    从文件规格、具体目标、详细规划看,此次IPv6计划力度较大,产业链有望迎来投资新机遇。我们认为,IPv6推广将围绕运营商、内容/应用提供商和终端厂商、数据中心、CDN等来展开。其中运营商需要采购或升级网络设备(交换机、路由器等)来承载IPv6并强化安全,则国内设备商华为、中兴通讯、烽火通信受益;我们认为,运营商骨干网和多数城域网很多已支持IPv6,更大瓶颈在于企业、家庭接入端和终端的普及率低,所以做企业网络和家庭接入/数码设备的厂商星网锐捷、华三、神州数码在未来的IPv6规模推进中将显著受益。同时注意到,教育网是目前国内最成熟的IPv6应用网络,而星网锐捷在教育市场份额长期稳居第一,公司在支持IPv6的企业网络解决方案上优势凸显。重点推荐:星网锐捷、中兴通讯、烽火通信。

新的协议栈开始规模化部署,会带来新的攻击方式和攻击面,例如分片攻击、扩展头攻击、NDP攻击等,需要提前做好服务器以及网络设备等协议栈安全配置及加固,可以参考《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》。

事件:中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,行动计划旨在加快推进基于(IPv6)的下一代互联网规模部署,提出用5-10年时间,国内建成最大规模的商用Ipv6网络。

IPv6改造涉及应用、云、管、端等整体改造,涵盖运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等,IPv6是网络,是IT infrastructure,更是整个生态能力的提升。

    IPv6网络目标直指全球第一,应用、网络、安全、技术要求全线跟进

IPv6 128位地址空间解决了网络地址资源数量的问题,也为物联网的发展提供了基础,同时地址空间变大使得攻击方实施IPv6扫描非常困难,但对于安全防护人员进行网络安全检测扫描也带来了新的挑战。

    中国经济增长引擎离不开新经济,新经济的承载都伴随着互联网,文件重点强调加快Ipv6规模部署是网络强国战略的紧迫需求:1)IPv6可提供充足IP地址(340万亿个),随着ipv4地址(40多亿)资源耗尽,Ipv6是互联网演进升级的必然趋势;2)IPv6是技术产业创新发展的重大契机,IPv6的规模部署不仅是互联网的一次全面升级,并将高效支撑移动互联网、物联网、云计算、AI等新技术新业态的繁荣和发展;3)是强化网络安全能力的迫切需要,相比ipv4,IPv6在网络安全问题上更具优势(效率和机制等)。

截止目前阿里云现已上线发布SLB、IPv6转换服务、云解析DNS、CDN、OSS、RDS六款产品,按照国家IPv6行动计划和统筹安排,阿里巴巴正在大力推进IPv6改造升级,2018年底前TOP50互联网企业应用(淘宝、天猫等)改造完成,可具备IPv6访问能力,同时阿里云产品会为客户提供端到端的IPv6解决方案,完成IPv4和IPv6双栈改造,50%云产品支持IPv6,包括VPC,ECS等。

从互联网企业安全架构来看,IPv6安全升级主要改造在系统层、网络层、存储层、应用业务层以及安全管理。

1、 IPv6协议栈安全

我国整个网络环境将随网络、应用、终端全面支持IPv6以及IPv6网络规模、用户规模、流量规模的增长发生翻天覆地的变化, 新的网络环境以及新兴领域将同时面临新的安全挑战。

互联网企业IPv6规模部署改造升级主要涉及网络设备、IPv6协议栈(含DNS/BGP/OSPF等协议栈)、网络管理(含海量自动化、监控工具开发等)、L4-L7网关(SLB/WAF/FW/LVS等)、IPv6地址/路由管理等、互联网质量监控和流量调度、全球质量探测系统、安全产品及防护(DDoS防护、流量清洗、网络隔离监控、业务风控等)等。

系统层:主要涉及端(PC、移动端以及IoT等)、服务器、网络设备相关系统改造,安全升级主要包括:IPv6协议栈安全配置加固、IPv6服务端口最小化开放、安全补丁、IPv6协议扫描及漏洞检测等。

前文《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》,已从IPv6协议安全威胁结合互联网网络安全运营视角介绍了面临的新的安全威胁及加固建议,本文重点从互联网企业IPv6规模化部署实际推行过程中面临的问题、安全影响及IPv6安全方案视角进行分析,同时介绍互联网企业IPv6网络安全升级的相关实践。

IPv6地址空间大,需要做好规划及地址分配策略,同时网络访问控制及隔离、扫描都要配套升级。

图片 1

IPv6网络扫描困难难以实施的情况下攻击方可能会寻找新的攻击方式,公共节点例如DNS等可能会成为优先的攻击目标,需要提前考虑应对。

2、 IPv6安全检测及扫描

以下演讲来自阿里安全猎户座实验室高级专家东帆,雷锋网编辑。

企业IPv6规模部署下的八大安全挑战

图片 2

DDoS防护涉及用户IPv6编址规范、运营商IPv6黑洞路由支持以及互联网企业安全产品改造并对接,需要多部门及各厂商共同改造并协同配合,挑战很大。

互联网企业IPv6安全升级及实践

安全产品(WAF/FW/IDS/IPS等)IPv6升级后与IPv6地址相关的策略及逻辑均要改造涉及,涉及面大,改造成本高。

互联网企业IPv6规模部署改造升级

本文由新蒲萄京棋牌下载发布于互联信息,转载请注明出处:IPv6规模化部署下互联网企业IPv6安全升级与实践

关键词: