IPv6规模部署中的云网安一体化安全防护
作者: 日期:2021年09月16日 阅:6,763

工信部、网信办联合印发《IPv6流量提升三年专项行动计划(2021-2023年)》,围绕IPv6流量提升总体目标,明确未来三年的重点发展任务,标志着我国IPv6发展经过网络就绪、端到端贯通等关键阶段后,正式步入“流量提升”时代。

发展基于IPv6的下一代互联网,也为网络安全带来了新的形势和挑战。对比IPv4,IPv6协议本身拥有更完善的安全机制、更庞大的地址空间、更高效的回溯能力,从协议层面来看IPv6确实有更高的安全性,但传统网络中的一些网络攻击依然存在,同时,也难以避免地引入一些新的安全风险,如何平滑、安全地过渡IPv6改造期成了当前行亟待解决的问题。介于上述行业背景,本期发布牛品推荐——新华三:IPv6+全栈安全解决方案。

牛品推荐第二十期

01标签

全栈全场景、多维度分层防护、云网安一体化

02用户痛点

1、IPv6协议簇自身的安全风险

IPv6报文结构中引入的新字段、IPv6协议族中引入的新协议可能存在漏洞,被利用发起DDoS、嗅探、地址欺骗等攻击。目前已证实存在的攻击风险包括:逐跳扩展头攻击、邻居发现协议攻击等。

2、新领域、新架构带来的新风险

随着信息产业的发展,除传统的数据中心、新型的云数据中心、商业互联网网站和应用以外,工业互联网、智慧城市、智慧终端等多种新生态、新场景也在同步进行IPv6规模部署,在此新形势下,应对现有网络安全保障系统进行升级改造,并针对新领域的安全问题进行前瞻性研究和实践。

3、IPv4向IPv6过渡期的安全风险

IPv4向IPv6的过渡是一个长期的过程,IPv4向IPv6的演进过程中,涉及双栈、隧道以及翻译技术,各种过渡技术都存在一些特有的安全风险。如翻译技术涉及载荷转换,无法实现端到端IPSec,隧道技术无内置认证、完整性和加密等安全功能,易被截取、仿冒等。

03解决方案

为解决IPv6规模部署中的安全问题,新华三推出IPv6+全栈安全解决方案,全面覆盖运营商、数据中心、园区网、广域网、云安全等多种场景,提供IPv6端到端全方位安全能力。

IPv6+全栈安全解决方案架构图

IPv6+全栈安全解决方案参考IPv4网络的安全体系框架,充分继承IPv4体系下已稳定大规模应用的安全防护架构的同时,重点关注解决IPv6协议安全问题、IPv4与IPv6的共性安全问题及IPv4与IPv6过渡阶段的安全问题,具备IPv6安全体系分层防护能力,从网络安全、主机安全、应用安全、数据安全及管理安全五个维度,提供完备的安全防护方案。

IPv6安全体系分层防护能力

IPv6安全架构根据不同区域的业务属性,安全防护采用分区分域的安全建设模式,以下图为例阐述说明。

IPv6安全防护方案总体架构设计示例

典型场景1:数据中心出口

边界区包括互联网边界、远端VPN边界(分支机构、移动办公用户等)、跨网边界(广域网、专线等),主要涉及网络安全。

典型的边界区如数据中心出口,由于连接互联网,常规的安全风险都会涉及,比如泛洪攻击(DNS Flood、ICMPv6 smurf攻击)、扫描攻击、IPv6协议攻击(扩展头攻击、IPv6分片攻击)、漏洞攻击,病毒、蠕虫等,如果涉及多运营商出口,还需要智能选路,内部用户上网涉及授权认证。基于以上需求,可在边界部署抗DDoS设备对泛洪、扫描等DDoS攻击进行防护,防火墙设备可部署四七层安全策略对IPv6协议攻击进行防护、进行细粒度访问控制等,IPS可以针对漏洞攻击、病毒、蠕虫等进行深度检测,当有多个互联网出口时,可部署负载均衡设备进行IPv6报文的智能链路负载分担。

■  方案价值

随着虚拟化技术的成熟,新一代云数据中心也随之兴起,企业边界不再是一个具体的位置,而是动态扩展,按需提供,更需要综合性防护理念。在“无边界网络”的情况下,实现数据中心分层分区的防护,需要各种安全业务或服务可以进行灵活的自定义和编排。新华三安全是为数不多的,既具备云平台建设能力又具备网络建设能力,同时又有安全建设能力的综合性厂商。借助云、网的天然优势,可将云安全与云网深度融合,形成“云网安”一体化能力。

典型场景2:互联网访问业务

系统应用区包括互联网业务(互联网访问)、公共业务(跨部门的资源共享业务)、专用业务(部门内部业务)等,涉及网络安全、应用安全和数据安全。

如企业对外提供WEB网站访问,安全防护需求涉及IPv6应用层攻击防护(跨站脚本攻击、SQL注入攻击、缓冲区溢出攻击等);IPv6安全运维管理,IPv6流量、攻击日志分析与可视化等。可部署WAF采用反向代理方式针对访问WEB的IPv6报文进行应用层安全防护,通过堡垒机可以实现IPv6管理流量的安全运维,漏洞扫描可以针对服务器进行定期的系统、WEB和DB漏洞加固核查,IPv6流量镜像给复制分流器(TAP),再由TAP设备将流量分发给ACG、IDS和DBA设备做流量的应用识别、行为分析、入侵检测和数据库审计,并将日志发给态势感知做流量分析和可视化展示。

在IPv6升级改造的过渡期,如企业内部存在IPv4服务器,在升级IPv6之前可以部署IPv6网关,通过NAT64转换功能实现内部IPv4对外直接提供IPv6访问,同时可使用外链代理功能解决网站“天窗”问题。

■  方案价值

根据政策要求,网站和应用均需要在规定期限内完成IPv6改造,企业可能内网服务众多,所有主机、服务器、应用需要在短时间内快速部署,全部对公网提供IPv6访问能力。多种核心业务流量大,对性能、可靠性要求高。在此基础上,还需要考虑降低改造成本,能平滑升级,不影响现网业务。随着IPv6部署的演进,内部服务的改造也会逐步深入,从关键设备支持IPv4/IPv6双栈,直至所有服务全面升级为IPv6。在演进后期,即使网络IPv6程度高,仍会存在少量IPv4终端及其用户,也需要为这部分用户提供服务。

IPv6+全栈安全解决方案全面支持各种IPv6过渡技术,如双栈、6RD、NAT64+DNS64、DS-Lite等,在IPv6演进的不同时期,都有相应的安全方案,可支持各种过渡场景,无缝连接IPv6的未来。

由于各场景的需求差异,以上仅举了两个典型的案例阐述IPv6安全防护方案,在具体的实践中,需要针对不同场景、不同部署方式,结合具体的业务需求,进行安全解决方案设计。

04用户反馈

在我司网络逻辑隔离的多个办公、生产环境中,IPv6的整体升级存在巨大的风险和困难,新华三IPv6安全解决方案应对不同的场景实现无缝迁移过渡,针对私有云、公有云、混合云同样提供了成熟的改造策略,实施过程对我司的业务几乎零影响。

——某大型股份制金融企业

通过新华三IPv6安全解决方案,我们解决了一些过去的技术难题,具备了分层安全防护体系,在加固业务系统的同时,管控上的颗粒度更为精细。

——某国内百强医疗企业

这份方案在网络、主机、数据等多个安全维度上均能严密覆盖,但让我们最惊喜的地方还是合规方面,改造之后的业务系统满足了等保2.0、行业标准审查,对我们来说意义重大。

——某交通管理单位

安全牛评

当前IPv6部署在国际已经取得突破性进展,我国也推出了“IPv6规模部署行动计划”,明确提出用五到十年的时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络;“IPv6流量提升计划”让我国正式步入“流量提升”时代。

新华三是较早对于IPv6技术进行持续研发和深入研究的厂商,其最原始的comware平台即支持IPV6协议栈,所以其安全、交换、路由、无线、物联网等几乎全系网络产品都具备了支持IPv6协议和应用部署的能力,近年来又随着其云安全平台建设的不断投入,使其具备了云网一体化的安全能力。


相关文章