长亭科技全线产品升级支持IPv6防护服务

长亭科技全线产品升级支持IPv6防护服务

IPv6 能够提供更广泛的互联网连接，促进物联网、人工智能等新技术应用的发展，是全球公认的下一代互联网解决方案。在国家政策的大力推动下，各行业IPv6改造都在如火如荼地进行。长亭科技应用安全塔防体系全面升级IPv6防护服务，帮助企业应对新出现的应用层安全威胁，提升企业安全建设价值。

2019年1月10日，中国人民银行发布关于金融行业贯彻《推进互联网协议第六版（IPv6）规模部署行动计划》的实施意见，提出到 2019 年底，金融服务机构门户网站支持 IPv6 链接访问。基于IPv6安全特点，金融行业针对 IPv6 网络构筑既能有效防范IPv6 安全风险，又不低于现有 IPv4 网络等同防护能力的安全防护体系。加快推进 IPv6 规模部署工作，是金融业今年乃至今后一段时期的重点工作。

在国家和行业政策的大力支持与推动下，截至2019 年初，许多大型金融机构、互联网企业的 IPv6 改造建设都在如火如荼的进行。网络运营商也初步开放了公网 IPv6 的访问，更多的企业即将面临着新一轮的 IPv6 改造。与此同时，IPv6改造过程中的安全问题也逐渐浮出水面。

IPv6应用层安全防护的几个关键点

总有人误认为“网络改成IPv6，安全问题就全面解决了”。

诚然，IPv4中常见的攻击方式将在IPv6网络中失效，使来自网络层的一些安全攻击得以抑制，但采用IPv6并不意味着关紧了安全的大门，来自应用层的威胁将以新的方式出现。企业在进行IPv6规模化部署时，应从以下几个方面做好应用层安全防护。

1、IPv6 应用层安全产品、设备适配性

IPv6网络中同样需要WAF、漏洞扫描、蜜罐、VPN、IDS（入侵检测系统）、网络过滤等网络安全设备和技术。由于IPv6的一些新特性，IPv4网中现有的这些安全设备在IPv6中不能直接使用，需要升级改进。其次，IPv4向IPv6过渡过程中，IPv6协议栈会挤占IPv4业务的CPU和内存等资源，导致现有的IPv4业务在会话表容量、吞吐率上会出现不同程度的下降。因此，对现有安全设备、安全系统处理能力进行全面评估和升级，提升设备、系统的适配成程度至关重要。

2、过渡支撑技术

由于地址设计原因，IPv4无法访问到IPv6网络，IPv6网络无法平滑实现过渡。为了向IPv6网络逐步演进，需要选用合适的过渡支撑技术，以保证金融、互联网等企业在IPv6改造后需要能够同时对IPv4-only、IPv6-only以及IPv4/IPv6共用的用户提供访问。

3、 流量处理能力

IPv6 时代，互联网流量较从前大幅攀升，随之为应用层流量分析清洗设备的负载和安全性造成压力。应用层安全产品需要具备能够在 IPv6 环境下进行部署，并对 IPv6 流量进行检测的能力。

4、 报文解析能力

IPv6 的报文结构与 IPv4 有较大区别，引入了多首部的概念、改变了 IPv4 报文首部的部分字段名称与格式、取消了“首部校验”字段。因此，部署在 IPv6 环境下的应用安全产品应具备支持 IPv6 的报文解析能力。

长亭应用安全塔防体系全面支持IPv6 防护服务

企业在对基础网络架构进行 IPv6 改造的同时，也需确保网络中的安全设备与安全软件能支持 IPv6，并进行相应的场景化适配。

图：长亭科技应用安全塔防体系

当安全设备部署到网络环境中，除了安全产品本身需要支持 IPv6 以外，还需要进行适当的配置才能发挥实际的作用，这些配置包括但不限于：

安全产品本身需要配置 DHCPv6 与 IPv6 DNS；

需要重建原有的基于 IP 的黑白名单；

原有的 HTTPS 站点需要修改为 IPv6 HTTPS，相关的 Web 流量处理产品，需要进行加密算法和证书的调整；

HTTP 层的流量转发需要调整重写后的 HTTP Header。

长亭科技应用安全塔防体系，经过产品架构和功能升级，现已全线支持 IPv6，目前包括雷池（SafeLine）下一代Web应用防火墙、谛听（D-Sensor）内网威胁感知系统、洞鉴（X-Ray）安全评估系统在内的多款产品已相继获得 IPv6 Ready 的官方认证，标志着应用安全塔防体系全线产品在IPv6一致性及互联互通方面均符合IETF IPv6相关 RFC标准，可进行商业部署。、

　　图：产品 IPv6 认证证书

适配升级提升企业安全建设价值

IPv6 带来了充足的地址空间，使绝大多数使用者无需 NAT，给企业安全建设带来诸多价值。

追踪溯源：IPv6 协议的“超大地址空间”可以从技术上解决网络实名制和用户身份溯源问题，实现网络精准管理。在 IPv6 部署过程中，可采用地址编码技术识别 IP 地址类型，地址编码可精确到区县级。因而，安全设备可以对客户端进行会话跟踪，同时也方便在攻防对抗的场景下对攻击者进行溯源；

避免误伤：减轻了阻断攻击源时，由于 IP 是公共出口（企业内网、高校内网、IDC 等）导致的大面积误伤；

防护控制：方便执行更精准的频率控制与 CC 防护规则。

IPv4 到 IPv6 的过渡不可能一蹴而就，针对现阶段 IPv6 改造的架构部署特点，长亭科技应用安全塔防体系在部署模式、防护策略、流量处理、报文解析等方面都进行了 IPv6 适配升级：

采用双栈方案，同时支持 IPv4-only、IPv6-only 和 IPv4/IPv6 双栈协议的部署模式；

产品内核升级 IPv6 流量处理能力；

检测引擎更新支持 IPv6 报文解析能力；

配置了相关的防护策略；

进行 IPv6 相关数据的展示和统计。

IPv6 不仅是互联网发展的必然路径，也是中国互联网技术及相关应用成长的有利契机。融入世界互联网大潮，在竞争中寻求进步才真正有益于自身发展。对企业而言，IPv6 的安全建设正是如此。