中国推进ipv6规模部署 安全领域的7大问题

中国发布的关于IPv6规模部署行动计划旨在加快推进基下一代互联网规模部署，实现下一代互联网在经济社会各领域深度融合应用，更是提升了IPSec安全传输能力和网络的安全性，IPv6也将成为下一代网络的主导力量。

IPv6因地址空间巨大，在应对部分安全攻击方面具有天然优势，在可溯源性、反黑客嗅探能力、邻居发现协议、安全邻居发现协议以及端到端的IPSec安全传输能力等方面提升了网络安全性。

针对《推进互联网协议第六版（IPv6）规模部署行动计划》，华为安全给出了IPv6规模部署下网络安全防护的详尽解读，承接上期IPv6行业影响，本期聚焦IPv6安全技术。

可溯源性

IPv6巨大的地址空间为每个网络设备分配了一个独一无二的网络地址，不需要像在IPv4网络中通过NAT解决地址不足问题，从而有利于事后追查回溯，提高安全的保障性。

反黑客嗅探能力

由于庞大的IPv6地址，使得在IPv4网络中常常被黑客使用的嗅探扫描在IPv6网络中变得更加困难。

NDP & SEND

在IPv6中，ARP的功能被邻居发现协议（NDP）所代替。邻居发现协议通过发现链路上的其他节点，判断其他节点的地址，寻找可用路由。对比ARP， NDP仅在链路层实现，更加独立于传输介质。下一代互联网的安全邻居发现（SEND）协议通过独立于IPSec的另一种加密方式，保证了传输的安全性。

端到端IPSec安全传输能力

IPSec为IPv6网络中的每个节点提供了数据源认证、完整性和保密性的能力，实现端到端的安全加密。

Q1IPv6新增的安全特性与IPv4有什么区别？

IPv6网络的安全，由于仅是IP包头、寻址方式发生了变化，内置了端到端的安全机制，所以相对IPv4，在安全方面IPv6对当前的各种安全风险的防范并没有太大的提高。

Q2基于安全性考虑，IPv4网络使用NAT技术来隐藏内网IP地址，IPv6网络是否也需要类似技术来提升安全性？

IPv6的NPT（Network Prefix TranslaTIon）（RFC6296）协议可以实现与IPv4 NAT类似的功能，允许IPv6地址的1：1映射，达到隐藏内部IPv6地址的效果。

Q3对于应用层攻击，IPv6网络的防御手段和方式都有哪些影响？

应用层防御功能一般包括协议识别、IPS、反病毒、URL过滤等，主要检测报文的应用层负载，几乎不受网络层协议IPv4/IPv6影响，因此，大部分传统IPv4协议下的应用层安全能力在IPv6网络中不受影响。

但有少部分IPv4网络协议在IPv6网络下自身需要发生了变化，比如DNS协议升级到DNSv6，那么对应的应用层安全检测需要根据协议变化进行调整。

Q4IPv6在扩展头中增加了IPSec的端到端加密能力，如果应用开启了此项功能，那么网络安全设备该如何检测和防御加密流量？

一般情况下，网络安全设备无法解密IPSec加密流量，仅能基于IP地址来控制。但从目前的情况来看，这种“内嵌”的IPSec需要使用密钥分发技术，总体上并不成熟，管理成本高，另外，由于网络安全设备正常是无法解密IPSec流量，防火墙等网络安全设备就无法在网络&应用层来检测IPSec流量，从某种意义上，系统的安全性得不到完整的保证。对于一般企业应用，基于管理成本和安全性考虑，建议仍使用防火墙实现IPSec VPN加解密，并在网关位置进行IPS、状态防火墙等安全检查，待技术成熟后再部署端到端加密。

Q5SSL代理功能在IPv6协议下是否受到影响？

SSL代理不依赖于网络层的具体协议，仍可以对IPv6 SSL加密流量实现解密。

Q6对于IPv6网络，如何通过防火墙来实现安全策略管理，与IPv4的安全策略有何不同？

IPv6与IPv4的安全策略管控是一样的，仍需要基于ACL的五元组来逐条配置，仅是IPv6地址变长，使得策略配置更加复杂。

Q7在现有安全设备上开启IPv4/IPv6双栈功能后，在功能和性能上会对IPv4业务有何影响？

开启IPv4/IPv6双栈一般不会对安全设备的功能产生影响，主要影响设备的性能，因为IPv6协议栈会挤占IPv4业务的CPU和内存等资源，导致现有的IPv4业务在会话表容量、新建速率、吞吐率上会出现不同程度的下降。建议在升级/开启IPv4/IPv6双栈前评估现有安全设备的处理能力，必要时可以替换现有安全设备，避免影响现有IPv4业务。