工信部、网信办联合印发《IPv6流量提升三年专项行动计划（2021-2023年）》，围绕IPv6流量提升总体目标，明确未来三年的重点发展任务，标志着我国IPv6发展经过网络就绪、端到端贯通等关键阶段后，正式步入“流量提升”时代。

发展基于IPv6的下一代互联网，也为网络安全带来了新的形势和挑战。对比IPv4，IPv6协议本身拥有更完善的安全机制、更庞大的地址空间、更高效的回溯能力，从协议层面来看IPv6确实有更高的安全性，但传统网络中的一些网络攻击依然存在，同时，也难以避免地引入一些新的安全风险，如何平滑、安全地过渡IPv6改造期成了当前行亟待解决的问题。介于上述行业背景，本期发布牛品推荐——新华三：IPv6+全栈安全解决方案。

牛品推荐第二十期

01标签

全栈全场景、多维度分层防护、云网安一体化

02用户痛点

1、IPv6协议簇自身的安全风险

IPv6报文结构中引入的新字段、IPv6协议族中引入的新协议可能存在漏洞，被利用发起DDoS、嗅探、地址欺骗等攻击。目前已证实存在的攻击风险包括：逐跳扩展头攻击、邻居发现协议攻击等。

2、新领域、新架构带来的新风险

随着信息产业的发展，除传统的数据中心、新型的云数据中心、商业互联网网站和应用以外，工业互联网、智慧城市、智慧终端等多种新生态、新场景也在同步进行IPv6规模部署，在此新形势下，应对现有网络安全保障系统进行升级改造，并针对新领域的安全问题进行前瞻性研究和实践。

3、IPv4向IPv6过渡期的安全风险

IPv4向IPv6的过渡是一个长期的过程，IPv4向IPv6的演进过程中，涉及双栈、隧道以及翻译技术，各种过渡技术都存在一些特有的安全风险。如翻译技术涉及载荷转换，无法实现端到端IPSec，隧道技术无内置认证、完整性和加密等安全功能，易被截取、仿冒等。

03解决方案

为解决IPv6规模部署中的安全问题，新华三推出IPv6+全栈安全解决方案，全面覆盖运营商、数据中心、园区网、广域网、云安全等多种场景，提供IPv6端到端全方位安全能力。

IPv6+全栈安全解决方案架构图

IPv6+全栈安全解决方案参考IPv4网络的安全体系框架，充分继承IPv4体系下已稳定大规模应用的安全防护架构的同时，重点关注解决IPv6协议安全问题、IPv4与IPv6的共性安全问题及IPv4与IPv6过渡阶段的安全问题，具备IPv6安全体系分层防护能力，从网络安全、主机安全、应用安全、数据安全及管理安全五个维度，提供完备的安全防护方案。

IPv6安全体系分层防护能力

IPv6安全架构根据不同区域的业务属性，安全防护采用分区分域的安全建设模式，以下图为例阐述说明。

IPv6安全防护方案总体架构设计示例

典型场景1：数据中心出口

边界区包括互联网边界、远端VPN边界（分支机构、移动办公用户等）、跨网边界（广域网、专线等），主要涉及网络安全。

典型的边界区如数据中心出口，由于连接互联网，常规的安全风险都会涉及，比如泛洪攻击（DNS Flood、ICMPv6 smurf攻击）、扫描攻击、IPv6协议攻击（扩展头攻击、IPv6分片攻击）、漏洞攻击，病毒、蠕虫等，如果涉及多运营商出口，还需要智能选路，内部用户上网涉及授权认证。基于以上需求，可在边界部署抗DDoS设备对泛洪、扫描等DDoS攻击进行防护，防火墙设备可部署四七层安全策略对IPv6协议攻击进行防护、进行细粒度访问控制等，IPS可以针对漏洞攻击、病毒、蠕虫等进行深度检测，当有多个互联网出口时，可部署负载均衡设备进行IPv6报文的智能链路负载分担。

■  方案价值

随着虚拟化技术的成熟，新一代云数据中心也随之兴起，企业边界不再是一个具体的位置，而是动态扩展，按需提供，更需要综合性防护理念。在“无边界网络”的情况下，实现数据中心分层分区的防护，需要各种安全业务或服务可以进行灵活的自定义和编排。新华三安全是为数不多的，既具备云平台建设能力又具备网络建设能力，同时又有安全建设能力的综合性厂商。借助云、网的天然优势，可将云安全与云网深度融合，形成“云网安”一体化能力。

典型场景2：互联网访问业务

系统应用区包括互联网业务（互联网访问）、公共业务（跨部门的资源共享业务）、专用业务（部门内部业务）等，涉及网络安全、应用安全和数据安全。

如企业对外提供WEB网站访问，安全防护需求涉及IPv6应用层攻击防护（跨站脚本攻击、SQL注入攻击、缓冲区溢出攻击等）；IPv6安全运维管理，IPv6流量、攻击日志分析与可视化等。可部署WAF采用反向代理方式针对访问WEB的IPv6报文进行应用层安全防护，通过堡垒机可以实现IPv6管理流量的安全运维，漏洞扫描可以针对服务器进行定期的系统、WEB和DB漏洞加固核查，IPv6流量镜像给复制分流器（TAP），再由TAP设备将流量分发给ACG、IDS和DBA设备做流量的应用识别、行为分析、入侵检测和数据库审计，并将日志发给态势感知做流量分析和可视化展示。

在IPv6升级改造的过渡期，如企业内部存在IPv4服务器，在升级IPv6之前可以部署IPv6网关，通过NAT64转换功能实现内部IPv4对外直接提供IPv6访问，同时可使用外链代理功能解决网站“天窗”问题。

■  方案价值

根据政策要求，网站和应用均需要在规定期限内完成IPv6改造，企业可能内网服务众多，所有主机、服务器、应用需要在短时间内快速部署，全部对公网提供IPv6访问能力。多种核心业务流量大，对性能、可靠性要求高。在此基础上，还需要考虑降低改造成本，能平滑升级，不影响现网业务。随着IPv6部署的演进，内部服务的改造也会逐步深入，从关键设备支持IPv4/IPv6双栈，直至所有服务全面升级为IPv6。在演进后期，即使网络IPv6程度高，仍会存在少量IPv4终端及其用户，也需要为这部分用户提供服务。

IPv6+全栈安全解决方案全面支持各种IPv6过渡技术，如双栈、6RD、NAT64+DNS64、DS-Lite等，在IPv6演进的不同时期，都有相应的安全方案，可支持各种过渡场景，无缝连接IPv6的未来。

由于各场景的需求差异，以上仅举了两个典型的案例阐述IPv6安全防护方案，在具体的实践中，需要针对不同场景、不同部署方式，结合具体的业务需求，进行安全解决方案设计。

04用户反馈

在我司网络逻辑隔离的多个办公、生产环境中，IPv6的整体升级存在巨大的风险和困难，新华三IPv6安全解决方案应对不同的场景实现无缝迁移过渡，针对私有云、公有云、混合云同样提供了成熟的改造策略，实施过程对我司的业务几乎零影响。

——某大型股份制金融企业

通过新华三IPv6安全解决方案，我们解决了一些过去的技术难题，具备了分层安全防护体系，在加固业务系统的同时，管控上的颗粒度更为精细。

——某国内百强医疗企业

这份方案在网络、主机、数据等多个安全维度上均能严密覆盖，但让我们最惊喜的地方还是合规方面，改造之后的业务系统满足了等保2.0、行业标准审查，对我们来说意义重大。

——某交通管理单位

安全牛评

当前IPv6部署在国际已经取得突破性进展，我国也推出了“IPv6规模部署行动计划”，明确提出用五到十年的时间，形成下一代互联网自主技术体系和产业生态，建成全球最大规模的IPv6商业应用网络；“IPv6流量提升计划”让我国正式步入“流量提升”时代。

新华三是较早对于IPv6技术进行持续研发和深入研究的厂商，其最原始的comware平台即支持IPV6协议栈，所以其安全、交换、路由、无线、物联网等几乎全系网络产品都具备了支持IPv6协议和应用部署的能力，近年来又随着其云安全平台建设的不断投入，使其具备了云网一体化的安全能力。