IPv6規?；渴鹣禄ヂ摼W企業IPv6安全升級與實踐

雷鋒網編者按：隨著5G、IoT、云計算技術的不斷成熟，萬物互聯時代即將到來，隨之而來的是海量的終端設備接入需求，目前IPv4地址空間已不足以支撐未來發展要求，由于IPv4地址的枯竭，其交易價格也在不斷攀升，各相關企業也有實際的IPv6升級需求。

從政策方面來看，自去年11月國務院頒布針對互聯網協議第六版（Internet Protocol Version 6，下稱“IPv6”）的規模部署行動計劃以來，如何圍繞IPv6升級安全系統也成為各行業熱議的話題。9月6日，在2018 ISC互聯網安全大會上，阿里安全獵戶座實驗室高級專家東帆帶來了《Pv6規?；渴鹣禄ヂ摼W企業IPv6安全升級與實踐》的演講，分享了阿里巴巴針對IPv6的改造及安全解決方案。

以下演講來自阿里安全獵戶座實驗室高級專家東帆，雷鋒網編輯。

當前運營商、網絡設備廠商、移動終端設備商、CDN廠商、互聯網企業以及網絡安全廠商等IPv6規?；渴鹁凑招袆佑媱澮蟠罅ν七M中，加速構建高速率、廣普及、全覆蓋、智能化的下一代互聯網。

按照部署計劃，到2018年末，IPv6活躍用戶數達到2億，在互聯網用戶中的占比不低于20%，到2020年末，IPv6活躍用戶數超過5億，在互聯網用戶中的占比超過50%，新增網絡地址不再使用私有IPv4地址，到2025年末，我國IPv6網絡規模、用戶規模、流量規模位居世界第一位。

我國整個網絡環境將隨網絡、應用、終端全面支持IPv6以及IPv6網絡規模、用戶規模、流量規模的增長發生翻天覆地的變化, 新的網絡環境以及新興領域將同時面臨新的安全挑戰。

當前IPv6規模化部署實際推行過程中面臨眾多問題與挑戰，如網絡設備升級、IPv6路由管理分配、IPv6編址規范及分配、雙棧、過渡技術、應用與業務兼容適配等，與此同時IPv6安全解決方案及產品升級也遇到極大的挑戰，而且IPv6規?；渴鹋c安全升級互相促進互相影響。

前文《下一代互聯通信網絡部署在即，IPv6安全防護準備好了嗎》，已從IPv6協議安全威脅結合互聯網網絡安全運營視角介紹了面臨的新的安全威脅及加固建議，本文重點從互聯網企業IPv6規模化部署實際推行過程中面臨的問題、安全影響及IPv6安全方案視角進行分析，同時介紹互聯網企業IPv6網絡安全升級的相關實踐。

互聯網企業IPv6規模部署改造升級

IPv6改造涉及應用、云、管、端等整體改造，涵蓋運營商、網絡設備廠商、移動終端設備商、CDN廠商、互聯網企業以及網絡安全廠商等，IPv6是網絡，是IT infrastructure,更是整個生態能力的提升。

互聯網企業IPv6規模部署改造升級主要涉及網絡設備、IPv6協議棧（含DNS/BGP/OSPF等協議棧）、網絡管理（含海量自動化、監控工具開發等）、L4-L7網關（SLB/WAF/FW/LVS等）、IPv6地址/路由管理等、互聯網質量監控和流量調度、全球質量探測系統、安全產品及防護（DDoS防護、流量清洗、網絡隔離監控、業務風控等）等。

自2012年全球IPv6網絡正式啟動以來，阿里巴巴就已開始著手IPv6的網絡研發的設備選型及升級路線改造，阿里云已是目前國內唯一一家全面提供IPv6服務的云廠商。

阿里巴巴 IPv4 到 IPv6 的演進以及 IPv6 規?；糠指脑熳裱韧獠亢髢炔浚噪p棧技術為過渡的原則。

截止目前阿里云現已上線發布SLB、IPv6轉換服務、云解析DNS、CDN、OSS、RDS六款產品，按照國家IPv6行動計劃和統籌安排，阿里巴巴正在大力推進IPv6改造升級，2018年底前TOP50互聯網企業應用（淘寶、天貓等）改造完成，可具備IPv6訪問能力，同時阿里云產品會為客戶提供端到端的IPv6解決方案，完成IPv4和IPv6雙棧改造，50%云產品支持IPv6，包括VPC，ECS等。 

阿里安全在阿里巴巴IPv6升級改造過程中基于新一代網絡架構演進、協議棧變化、中間件、應用及業務等升級改造提前識別新的安全威脅、攻擊面及影響，結合互聯網業務改造節奏確定IPv6安全解決方案，升級整體IPv6安全檢測能力及安全產品，支撐各產品為客戶提供安全可靠的服務。

企業IPv6規模部署下的八大安全挑戰

1、 IPv6協議棧安全

新的協議棧開始規?；渴?，會帶來新的攻擊方式和攻擊面，例如分片攻擊、擴展頭攻擊、NDP攻擊等，需要提前做好服務器以及網絡設備等協議棧安全配置及加固，可以參考《下一代互聯通信網絡部署在即，IPv6安全防護準備好了嗎》。

2、 IPv6安全檢測及掃描

IPv6 128位地址空間解決了網絡地址資源數量的問題，也為物聯網的發展提供了基礎，同時地址空間變大使得攻擊方實施IPv6掃描非常困難，但對于安全防護人員進行網絡安全檢測掃描也帶來了新的挑戰。

3、 IPv6 DNS安全

IPv6網絡掃描困難難以實施的情況下攻擊方可能會尋找新的攻擊方式，公共節點例如DNS等可能會成為優先的攻擊目標，需要提前考慮應對。

4、 IPv6 DDoS防護及黑洞

DDoS防護涉及用戶IPv6編址規范、運營商IPv6黑洞路由支持以及互聯網企業安全產品改造并對接，需要多部門及各廠商共同改造并協同配合，挑戰很大。

5、 IPv6 業務風控

IPv6地址是業務風控策略中關鍵的一環，如何更快更智能化地升級安全防控能力，并精確快速區分惡意用戶及精確溯源，涉及網絡、業務、應用等，需要更全面更系統地梳理應對。

6、 IPv6 安全產品改造

安全產品（WAF/FW/IDS/IPS等）IPv6升級后與IPv6地址相關的策略及邏輯均要改造涉及，涉及面大，改造成本高。

7、 IPv6 網絡安全

IPv6地址空間大，需要做好規劃及地址分配策略，同時網絡訪問控制及隔離、掃描都要配套升級。

8、 IPv6過渡技術安全

IPv6各種過渡技術（例如隧道技術、翻譯技術、IPv6/IPv4雙棧技術等）安全控制措施默認情況下并不完善，需要結合認證、加密、完整性、訪問控制等其他方案綜合控制風險。

互聯網企業IPv6安全升級及實踐

從互聯網企業安全架構來看，IPv6安全升級主要改造在系統層、網絡層、存儲層、應用業務層以及安全管理。

系統層：主要涉及端（PC、移動端以及IoT等）、服務器、網絡設備相關系統改造，安全升級主要包括：IPv6協議棧安全配置加固、IPv6服務端口最小化開放、安全補丁、IPv6協議掃描及漏洞檢測等。

網絡層：安全升級主要包括網絡設備IPv6安全配置加固、IPv6網絡地址/路由規劃、IPv6訪問控制及隔離、IPv6網絡路由安全策略、IPv6黑洞路由防DDoS、DNS/SLB/LVS/FW/IDS IPv6、定向IPv6網絡掃描等。

存儲層：安全升級主要包括IPv6地址庫數據、黑灰產惡意IPv6數據、規則算法模型等。

應用業務層：安全升級主要包括應用漏洞掃描、WAF、CC防御、反爬蟲、反欺詐/作弊及其他業務風控策略等升級改造，特別是基于IP的訪問控制、基于IP的地址位置、基于IP的關系網等方面。

安全管理：安全升級主要包括IPv6相關的認證、鑒權、審計以及SIEM安全信息和事件管理。

另外，互聯網企業IPv6規模部署和安全升級過程中，涉及到“云、管、端”，除了移動終端等廠商外，運營商是非常重要的，云和端的設備占到中國網民99%以上的規模，像中國聯通、中國移動、中國電信以及教育網也是IPv6推動里面最強的一股力量，也是最核心的一部分，特別是用戶IPv6地址編址及分配規范、精確溯源以及防DDoS等方面，在IPv6安全升級落地終端、運營商以及互聯網企業IPv6安全需要統籌同步建設，各方協同配合才能更好地共建更安全更高效的新一代IPv6網絡。

 互聯網IPv6安全未來展望

隨著新一代互聯網絡的規?；渴鸷桶l展，IPv6網絡規模、用戶規模、流量規?？焖僭鲩L，對于互聯網IPv6安全未來發展有幾點自己的看法，希望對大家做好IPv6安全防護有所幫助。

1、建立自主可控完備高效的IPv6安全防護網絡需要從標準、應用、端、管、云及各行各業的共同努力，特別是IPv6編址、精確溯源等方面需要政府主導規范、行業間共建共享。

2、IPv6協議棧穩定會有一個過程，隨著支持IPv6應用逐步上線，用戶流量上一定規模，會有新一輪新形式的IPv6攻防對抗，特別是在業務風控、防DDoS、IPv6協議漏洞挖掘等方面。

3、IPv6隨著政策牽引以及5G、IoT、云計算等對于IP地址需求大的業務不斷成熟，會迎來一個快速發展期， IPv6安全產品及檢測防護升級需要重點投入并提前READY，確保新一代IPv6網絡安全風險可控。

雷峰網特約稿件，未經授權禁止轉載。詳情見轉載須知。