两部门发布“网络去NAT”通知,专家:IPv6存三大安全风险亟待重视

时间:2024-07-25 作者:奇安信集团

分享到:

    不久前,工业和信息化部办公厅、中央网信办秘书局联合印发了《关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用》的通知(简称“网络去NAT”通知》。该通知对IPv6部署提出了明确的时间表和任务目标,例如到2025年7月底前实现试点区域基础电信企业NAT44设备总容量停止增长,主要移动互联网应用(APP)固网侧IPv6流量占比不低于70%;到2024年底,基础电信企业自有环境固定宽带用户IPv6连通率不低于80%。

两部门发布“网络去NAT”通知,专家:IPv6存三大安全风险亟待重视

    奇安信集团鲲鹏网络平台负责人、边界安全专家李红光表示,“网络去NAT”通知的发布,向全社会释放了我国加快向IPv6演进升级的明确信号,有利于凝聚网络、应用、终端等产业各方合力,加速提升IPv6规模部署和应用水平。与此同时,从IPv4向IPv6过渡的过程存在的诸多安全风险也亟待业界高度重视,目前奇安信已经为广大政企机构,提供了涵盖防火墙、IDS、IPS、WAF、抗DDoS、安全审计等在内的IPv6网络安全解决方案,为我国IPv6演进升级保驾护航。

    IPv6应用潮流势不可挡,三大安全风险不容忽视

两部门发布“网络去NAT”通知,专家:IPv6存三大安全风险亟待重视

    李红光表示,作为新一代互联网协议,IPv6具有更加广阔的网络地址空间和更高的安全性,为物联网、大数据、云计算等新兴技术发展提供坚实的支撑,是全球公认的下一代互联网商业应用的解决方案。然而,IPv4向IPv6网络升级演进是一个持续、长期的过程,目前已部署上线的IPv6业务应用仍然相对有限。同时,在向IPv6升级演进中,政企客户至少将面临以下三方面的安全挑战:

    首先是IPv4/IPv6过渡期将长期存在,过渡机制导致网络安全风险持续叠加。

    尽管“网络去NAT”通知已经发布,但IPv6网络升级演进不可能一蹴而就,IPv4网络和IPv6网络长期并存将会是常态。为保障IPv4和IPv6网络间的相互通信,通常采用双栈、隧道、翻译等过渡机制实现向纯IPv6网络的平稳升级,但部分过渡机制自身存在安全缺陷,或因过渡机制特性引入新的安全隐患,导致我国IPv6网络升级建设过渡期安全风险持续叠加。

    其次是IPv6协议新特性将挑战现有安全防护手段,融合场景下安全威胁持续扩大。

    IPv6协议本身的问题包括:路由头、移动IPv6、站点范围的多播地址、ICMPv6、任播流量、地址隐私扩展与DDoS防御、动态DNS、扩展头、分片、链路本地地址和邻居发现、安全路由通告、多路由器负载分担等。由于IPv6网络地址标识复杂性大幅增加,导致传统基于地址资源的安全防护手段,面临多重安全挑战。例如使用嵌入IPv4地址的IPv6地址绕过防护问题;端到端透明性问题(无NAT);将IPv6隐藏于IPv6隧道带来的绕过安全检查问题等等。

    最后是海量地址空间导致IPv6融合场景下网络安全管理实施难度大,加剧了网络安全防御被动局面。

    IPv6可提供IPv4的2^96倍的海量网络地址空间,可有效满足万物互联背景下海量互联网资产的网络接入需求,但同时,IPv6与网络信息新技术的深度融合也将加大网络安全管理难度。一方面,从网络安全防御方看,为保障海量互联网资产安全,网络安全防御方需将终端、设备等海量互联网资产全面纳入网络安全管理范畴,海量互联网资产的接入直接导致网络安全管理范围成倍扩大,网络安全管理工作难度急剧增加。另一方面,从网络攻击方看,仅需掌握少量互联网资产即可发起攻击,加剧网络安全防御的被动局面。

    为IPv6升级构筑安全防线势在必行

    “网络去NAT”通知明确指出,针对开展IPv6升级改造的网络系统,要持续强化网络安全防护管理,定期开展风险评估,做好重要系统网络安全风险监测预警和应急处置。对于影响范围较大的设备升级、配置变更、服务变动,要制定预案,加强关键节点性能监测,保障网络安全稳定运行。

两部门发布“网络去NAT”通知,专家:IPv6存三大安全风险亟待重视

    为了应对IPv6升级带来的安全挑战,做好安全保障,奇安信安全专家建议,企业在积极拥抱新技术的同时,需要提前做好IPv6安全产品和服务的部署,为IPv6发展构筑安全防线。

    首先,企业需要部署全面支持IPv6协议的相关安全产品,满足IPv4向IPv6升级改造中的安全需求防护。

    例如在基础网络、政企和商业网站、云平台、IDC/CDN等IPv6升级改造过程中,应同步部署支持IPv6的防火墙、IPS、WAF、抗DDoS、等安全产品和设备,同步改造僵木蠕监测处置系统、上网日志留存系统、IDC/ISP信息安全管理系统等网络安全监测处置系统,强化IPv6网络安全防护能力建设。

    在落实IPv6环境网络安全防护中,需要兼顾产品的先进性、兼容性和协同联动性,强化IPv6风险防范能力。以奇安信智慧防火墙为例,它基于强劲性能与先进的AMP+架构支撑,集成访问控制、用户授权访问、虚拟系统、行为管理、应用层综合安全防护等覆盖IPv4网络及IPv6网络的功能,并能与奇安信威胁监测与分析系统(天眼)、态势感知与安全运营平台(NGSOC)、终端安全管理系统(天擎)等进行多项智能联动,形成云端感知、边界控制、终端协同的一体化防护平台体系。

    其次是需要深度结合新架构和场景,加快典型场景IPv6安全产品和服务应用部署,构成精细化IPv6安全防护体系。

    其中,典型业务场景IPv6安全需求具体包括骨干网安全需求、LTE网络安全需求、云平台安全需求、IDC安全需求、CDN安全需求、DNS安全需求、5G融合场景安全需求、物联网融合场景安全需求等。企业需要根据典型业务场景IPv6安全需求,结合IPv6安全产品和服务,形成IPv6精细化安全防护体系。

    最后是强化IPv6网络安全专业知识和技能培训,弥补IPv6网络安全专业人才差距。

    其中包括加强IPv6安全知识和技能培训,提升IPv6相关工作人员安全能力。开展IPv6网络安全攻防竞赛,强化IPv6网络安全人员实战能力。通过建立产学研协同机制,推动下一代互联网安全创新发展。联合产学研各界力量,推动成立联合实验室、实训基地、创新中心等,促进产学研用有机联动,深入挖掘5G、物联网等新技术与IPv6融合场景下存在的未知安全风险,持续开展IPv6融合场景下安全风险应对技术研究,形成IPv6安全技术储备。

    结束语:

    IPv6规模部署和应用,是互联网演进升级的必然趋势,是网络技术创新的重要方向,也是新形势下加快数字基础设施建设的重要内容。中央网络安全和信息化委员会办公室副主任、国家互联网信息办公室副主任王崧曾指出,IPv6规模部署和应用是一项复杂的系统工程,要体系化推进IPv6规模部署和应用;要坚持安全发展,牢牢守住IPv6网络安全底线,提高IPv6网络安全态势感知、通报预警和应急响应能力,不断完善IPv6网络安全防护体系。可以预见,在IPv6的升级演进浪潮中,对整个网络安全行业而言,无疑是一场重要的技术创新和产业升级机遇,以奇安信为代表的头部网络安全厂商将成为本轮浪潮的受益者。

奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们