长亭科技全线产品升级支持IPv6防护服务
云栖网:IPv6能够提供更广泛的互联网连接,促进物联网、人工智能等新技术应用的发展,是全球公认的下一代互联网解决方案。在国家政策的大力推动下,各行业IPv6改造都在如火如荼地进行。长亭科技应用安全塔防体系全面升级IPv6防护服务,帮助企业应对新出现的应用层安全威胁,提升企业安全建设价值。
2019年1月10日,中国人民银行发布关于金融行业贯彻《推进互联网协议第六版(IPv6)规模部署行动计划》的实施意见,提出到2019年底,金融服务机构门户网站支持IPv6链接访问。基于IPv6安全特点,金融行业针对IPv6网络构筑既能有效防范IPv6安全风险,又不低于现有IPv4网络等同防护能力的安全防护体系。加快推进IPv6规模部署工作,是金融业今年乃至今后一段时期的重点工作。
在国家和行业政策的大力支持与推动下,截至2019年初,许多大型金融机构、互联网企业的IPv6改造建设都在如火如荼的进行。网络运营商也初步开放了公网IPv6的访问,更多的企业即将面临着新一轮的IPv6改造。与此同时,IPv6改造过程中的安全问题也逐渐浮出水面。
IPv6应用层安全防护的几个关键点
总有人误认为“网络改成IPv6,安全问题就全面解决了”。
诚然,IPv4中常见的攻击方式将在IPv6网络中失效,使来自网络层的一些安全攻击得以抑制,但采用IPv6并不意味着关紧了安全的大门,来自应用层的威胁将以新的方式出现。企业在进行IPv6规模化部署时,应从以下几个方面做好应用层安全防护。
1、IPv6应用层安全产品、设备适配性
IPv6网络中同样需要WAF、漏洞扫描、蜜罐、VPN、IDS(入侵检测系统)、网络过滤等网络安全设备和技术。由于IPv6的一些新特性,IPv4网中现有的这些安全设备在IPv6中不能直接使用,需要升级改进。其次,IPv4向IPv6过渡过程中,IPv6协议栈会挤占IPv4业务的CPU和内存等资源,导致现有的IPv4业务在会话表容量、吞吐率上会出现不同程度的下降。因此,对现有安全设备、安全系统处理能力进行全面评估和升级,提升设备、系统的适配成程度至关重要。
2、过渡支撑技术
由于地址设计原因,IPv4无法访问到IPv6网络,IPv6网络无法平滑实现过渡。为了向IPv6网络逐步演进,需要选用合适的过渡支撑技术,以保证金融、互联网等企业在IPv6改造后需要能够同时对IPv4-only、IPv6-only以及IPv4/IPv6共用的用户提供访问。
3、流量处理能力
IPv6时代,互联网流量较从前大幅攀升,随之为应用层流量分析清洗设备的负载和安全性造成压力。应用层安全产品需要具备能够在IPv6环境下进行部署,并对IPv6流量进行检测的能力。
4、报文解析能力
IPv6的报文结构与IPv4有较大区别,引入了多首部的概念、改变了IPv4报文首部的部分字段名称与格式、取消了“首部校验”字段。因此,部署在IPv6环境下的应用安全产品应具备支持IPv6的报文解析能力。
长亭应用安全塔防体系全面支持IPv6防护服务
企业在对基础网络架构进行IPv6改造的同时,也需确保网络中的安全设备与安全软件能支持IPv6,并进行相应的场景化适配。
图:长亭科技应用安全塔防体系
当安全设备部署到网络环境中,除了安全产品本身需要支持IPv6以外,还需要进行适当的配置才能发挥实际的作用,这些配置包括但不限于:
安全产品本身需要配置DHCPv6与IPv6DNS;
需要重建原有的基于IP的黑白名单;
原有的HTTPS站点需要修改为IPv6HTTPS,相关的Web流量处理产品,需要进行加密算法和证书的调整;
HTTP层的流量转发需要调整重写后的HTTP Header。
长亭科技应用安全塔防体系,经过产品架构和功能升级,现已全线支持IPv6,目前包括雷池(SafeLine)下一代Web应用防火墙、谛听(D-Sensor)内网威胁感知系统、洞鉴(X-Ray)安全评估系统在内的多款产品已相继获得IPv6Ready的官方认证,标志着应用安全塔防体系全线产品在IPv6一致性及互联互通方面均符合IETFIPv6相关RFC标准,可进行商业部署。
图:产品IPv6认证证书
适配升级提升企业安全建设价值
IPv6带来了充足的地址空间,使绝大多数使用者无需NAT,给企业安全建设带来诸多价值。
追踪溯源:IPv6协议的“超大地址空间”可以从技术上解决网络实名制和用户身份溯源问题,实现网络精准管理。在IPv6部署过程中,可采用地址编码技术识别IP地址类型,地址编码可精确到区县级。因而,安全设备可以对客户端进行会话跟踪,同时也方便在攻防对抗的场景下对攻击者进行溯源;
避免误伤:减轻了阻断攻击源时,由于IP是公共出口(企业内网、高校内网、IDC等)导致的大面积误伤;
防护控制:方便执行更精准的频率控制与CC防护规则。
IPv4到IPv6的过渡不可能一蹴而就,针对现阶段IPv6改造的架构部署特点,长亭科技应用安全塔防体系在部署模式、防护策略、流量处理、报文解析等方面都进行了IPv6适配升级:
采用双栈方案,同时支持IPv4-only、IPv6-only和IPv4/IPv6双栈协议的部署模式;
产品内核升级IPv6流量处理能力;
检测引擎更新支持IPv6报文解析能力;
配置了相关的防护策略;
进行IPv6相关数据的展示和统计。
IPv6不仅是互联网发展的必然路径,也是中国互联网技术及相关应用成长的有利契机。融入世界互联网大潮,在竞争中寻求进步才真正有益于自身发展。对企业而言,IPv6的安全建设正是如此。