企业动态

    不久前，工业和信息化部办公厅、中央网信办秘书局联合印发了《关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用》的通知（简称“网络去NAT”通知》。该通知对IPv6部署提出了明确的时间表和任务目标，例如到2025年7月底前实现试点区域基础电信企业NAT44设备总容量停止增长，主要移动互联网应用（APP）固网侧IPv6流量占比不低于70%；到2024年底，基础电信企业自有环境固定宽带用户IPv6连通率不低于80%。

    奇安信集团鲲鹏网络平台负责人、边界安全专家李红光表示，“网络去NAT”通知的发布，向全社会释放了我国加快向IPv6演进升级的明确信号，有利于凝聚网络、应用、终端等产业各方合力，加速提升IPv6规模部署和应用水平。与此同时，从IPv4向IPv6过渡的过程存在的诸多安全风险也亟待业界高度重视，目前奇安信已经为广大政企机构，提供了涵盖防火墙、IDS、IPS、WAF、抗DDoS、安全审计等在内的IPv6网络安全解决方案，为我国IPv6演进升级保驾护航。

    IPv6应用潮流势不可挡，三大安全风险不容忽视

    李红光表示，作为新一代互联网协议，IPv6具有更加广阔的网络地址空间和更高的安全性，为物联网、大数据、云计算等新兴技术发展提供坚实的支撑，是全球公认的下一代互联网商业应用的解决方案。然而，IPv4向IPv6网络升级演进是一个持续、长期的过程，目前已部署上线的IPv6业务应用仍然相对有限。同时，在向IPv6升级演进中，政企客户至少将面临以下三方面的安全挑战：

    首先是IPv4/IPv6过渡期将长期存在，过渡机制导致网络安全风险持续叠加。

    尽管“网络去NAT”通知已经发布，但IPv6网络升级演进不可能一蹴而就，IPv4网络和IPv6网络长期并存将会是常态。为保障IPv4和IPv6网络间的相互通信，通常采用双栈、隧道、翻译等过渡机制实现向纯IPv6网络的平稳升级，但部分过渡机制自身存在安全缺陷，或因过渡机制特性引入新的安全隐患，导致我国IPv6网络升级建设过渡期安全风险持续叠加。

    其次是IPv6协议新特性将挑战现有安全防护手段，融合场景下安全威胁持续扩大。

    IPv6协议本身的问题包括：路由头、移动IPv6、站点范围的多播地址、ICMPv6、任播流量、地址隐私扩展与DDoS防御、动态DNS、扩展头、分片、链路本地地址和邻居发现、安全路由通告、多路由器负载分担等。由于IPv6网络地址标识复杂性大幅增加，导致传统基于地址资源的安全防护手段，面临多重安全挑战。例如使用嵌入IPv4地址的IPv6地址绕过防护问题；端到端透明性问题（无NAT）；将IPv6隐藏于IPv6隧道带来的绕过安全检查问题等等。

    最后是海量地址空间导致IPv6融合场景下网络安全管理实施难度大，加剧了网络安全防御被动局面。

    IPv6可提供IPv4的2^96倍的海量网络地址空间，可有效满足万物互联背景下海量互联网资产的网络接入需求,但同时，IPv6与网络信息新技术的深度融合也将加大网络安全管理难度。一方面，从网络安全防御方看，为保障海量互联网资产安全，网络安全防御方需将终端、设备等海量互联网资产全面纳入网络安全管理范畴，海量互联网资产的接入直接导致网络安全管理范围成倍扩大，网络安全管理工作难度急剧增加。另一方面，从网络攻击方看，仅需掌握少量互联网资产即可发起攻击，加剧网络安全防御的被动局面。

    为IPv6升级构筑安全防线势在必行

    “网络去NAT”通知明确指出，针对开展IPv6升级改造的网络系统，要持续强化网络安全防护管理，定期开展风险评估，做好重要系统网络安全风险监测预警和应急处置。对于影响范围较大的设备升级、配置变更、服务变动，要制定预案，加强关键节点性能监测，保障网络安全稳定运行。

    为了应对IPv6升级带来的安全挑战，做好安全保障，奇安信安全专家建议，企业在积极拥抱新技术的同时，需要提前做好IPv6安全产品和服务的部署，为IPv6发展构筑安全防线。

    首先，企业需要部署全面支持IPv6协议的相关安全产品，满足IPv4向IPv6升级改造中的安全需求防护。

    例如在基础网络、政企和商业网站、云平台、IDC/CDN等IPv6升级改造过程中，应同步部署支持IPv6的防火墙、IPS、WAF、抗DDoS、等安全产品和设备，同步改造僵木蠕监测处置系统、上网日志留存系统、IDC/ISP信息安全管理系统等网络安全监测处置系统，强化IPv6网络安全防护能力建设。

    在落实IPv6环境网络安全防护中，需要兼顾产品的先进性、兼容性和协同联动性，强化IPv6风险防范能力。以奇安信智慧防火墙为例，它基于强劲性能与先进的AMP+架构支撑，集成访问控制、用户授权访问、虚拟系统、行为管理、应用层综合安全防护等覆盖IPv4网络及IPv6网络的功能，并能与奇安信威胁监测与分析系统（天眼）、态势感知与安全运营平台（NGSOC）、终端安全管理系统(天擎）等进行多项智能联动，形成云端感知、边界控制、终端协同的一体化防护平台体系。

    其次是需要深度结合新架构和场景，加快典型场景IPv6安全产品和服务应用部署，构成精细化IPv6安全防护体系。

    其中，典型业务场景IPv6安全需求具体包括骨干网安全需求、LTE网络安全需求、云平台安全需求、IDC安全需求、CDN安全需求、DNS安全需求、5G融合场景安全需求、物联网融合场景安全需求等。企业需要根据典型业务场景IPv6安全需求，结合IPv6安全产品和服务，形成IPv6精细化安全防护体系。

    最后是强化IPv6网络安全专业知识和技能培训，弥补IPv6网络安全专业人才差距。

    其中包括加强IPv6安全知识和技能培训，提升IPv6相关工作人员安全能力。开展IPv6网络安全攻防竞赛，强化IPv6网络安全人员实战能力。通过建立产学研协同机制，推动下一代互联网安全创新发展。联合产学研各界力量，推动成立联合实验室、实训基地、创新中心等，促进产学研用有机联动，深入挖掘5G、物联网等新技术与IPv6融合场景下存在的未知安全风险，持续开展IPv6融合场景下安全风险应对技术研究，形成IPv6安全技术储备。

    结束语：

    IPv6规模部署和应用，是互联网演进升级的必然趋势，是网络技术创新的重要方向，也是新形势下加快数字基础设施建设的重要内容。中央网络安全和信息化委员会办公室副主任、国家互联网信息办公室副主任王崧曾指出，IPv6规模部署和应用是一项复杂的系统工程，要体系化推进IPv6规模部署和应用；要坚持安全发展，牢牢守住IPv6网络安全底线，提高IPv6网络安全态势感知、通报预警和应急响应能力，不断完善IPv6网络安全防护体系。可以预见，在IPv6的升级演进浪潮中，对整个网络安全行业而言，无疑是一场重要的技术创新和产业升级机遇，以奇安信为代表的头部网络安全厂商将成为本轮浪潮的受益者。