您當前的位置是:  首頁 > 資訊 > 國內(nèi) >
 首頁 > 資訊 > 國內(nèi) >

長亭科技全線產(chǎn)品升級支持IPv6防護服務

2019-07-30 16:50:35   作者:   來源:CTI論壇   評論:0  點擊:

  IPv6能夠提供更廣泛的互聯(lián)網(wǎng)連接,促進物聯(lián)網(wǎng)、人工智能等新技術應用的發(fā)展,是全球公認的下一代互聯(lián)網(wǎng)解決方案。在國家政策的大力推動下,各行業(yè)IPv6改造都在如火如荼地進行。長亭科技應用安全塔防體系全面升級IPv6防護服務,幫助企業(yè)應對新出現(xiàn)的應用層安全威脅,提升企業(yè)安全建設價值。
 
  2019年1月10日,中國人民銀行發(fā)布關于金融行業(yè)貫徹《推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》的實施意見,提出到 2019年底,金融服務機構門戶網(wǎng)站支持 IPv6鏈接訪問;贗Pv6安全特點,金融行業(yè)針對 IPv6網(wǎng)絡構筑既能有效防范IPv6安全風險,又不低于現(xiàn)有 IPv4網(wǎng)絡等同防護能力的安全防護體系。加快推進 IPv6規(guī)模部署工作,是金融業(yè)今年乃至今后一段時期的重點工作。
  在國家和行業(yè)政策的大力支持與推動下,截至2019年初,許多大型金融機構、互聯(lián)網(wǎng)企業(yè)的 IPv6改造建設都在如火如荼的進行。網(wǎng)絡運營商也初步開放了公網(wǎng) IPv6的訪問,更多的企業(yè)即將面臨著新一輪的 IPv6改造。與此同時,IPv6改造過程中的安全問題也逐漸浮出水面。
  IPv6應用層安全防護的幾個關鍵點
  總有人誤認為“網(wǎng)絡改成IPv6,安全問題就全面解決了”。
  誠然,IPv4中常見的攻擊方式將在IPv6網(wǎng)絡中失效,使來自網(wǎng)絡層的一些安全攻擊得以抑制,但采用IPv6并不意味著關緊了安全的大門,來自應用層的威脅將以新的方式出現(xiàn)。企業(yè)在進行IPv6規(guī);渴饡r,應從以下幾個方面做好應用層安全防護。
  1、IPv6應用層安全產(chǎn)品、設備適配性
  IPv6網(wǎng)絡中同樣需要WAF、漏洞掃描、蜜罐、VPN、IDS(入侵檢測系統(tǒng))、網(wǎng)絡過濾等網(wǎng)絡安全設備和技術。由于IPv6的一些新特性,IPv4網(wǎng)中現(xiàn)有的這些安全設備在IPv6中不能直接使用,需要升級改進。其次,IPv4向IPv6過渡過程中,IPv6協(xié)議棧會擠占IPv4業(yè)務的CPU和內(nèi)存等資源,導致現(xiàn)有的IPv4業(yè)務在會話表容量、吞吐率上會出現(xiàn)不同程度的下降。因此,對現(xiàn)有安全設備、安全系統(tǒng)處理能力進行全面評估和升級,提升設備、系統(tǒng)的適配成程度至關重要。
  2、過渡支撐技術
  由于地址設計原因,IPv4無法訪問到IPv6網(wǎng)絡,IPv6網(wǎng)絡無法平滑實現(xiàn)過渡。為了向IPv6網(wǎng)絡逐步演進,需要選用合適的過渡支撐技術,以保證金融、互聯(lián)網(wǎng)等企業(yè)在IPv6改造后需要能夠同時對IPv4-only、IPv6-only以及IPv4/IPv6共用的用戶提供訪問。
  3、流量處理能力
  IPv6時代,互聯(lián)網(wǎng)流量較從前大幅攀升,隨之為應用層流量分析清洗設備的負載和安全性造成壓力。應用層安全產(chǎn)品需要具備能夠在 IPv6環(huán)境下進行部署,并對 IPv6流量進行檢測的能力。
  4、報文解析能力
  IPv6的報文結構與 IPv4有較大區(qū)別,引入了多首部的概念、改變了 IPv4報文首部的部分字段名稱與格式、取消了“首部校驗”字段。因此,部署在 IPv6環(huán)境下的應用安全產(chǎn)品應具備支持 IPv6的報文解析能力。
  長亭應用安全塔防體系全面支持IPv6防護服務
  企業(yè)在對基礎網(wǎng)絡架構進行 IPv6改造的同時,也需確保網(wǎng)絡中的安全設備與安全軟件能支持 IPv6,并進行相應的場景化適配。
  長亭科技應用安全塔防體系
  當安全設備部署到網(wǎng)絡環(huán)境中,除了安全產(chǎn)品本身需要支持 IPv6以外,還需要進行適當?shù)呐渲貌拍馨l(fā)揮實際的作用,這些配置包括但不限于:
  • 安全產(chǎn)品本身需要配置 DHCPv6與 IPv6 DNS;
  • 需要重建原有的基于 IP的黑白名單;
  • 原有的 HTTPS站點需要修改為 IPv6 HTTPS,相關的 Web流量處理產(chǎn)品,需要進行加密算法和證書的調(diào)整;
  • HTTP層的流量轉(zhuǎn)發(fā)需要調(diào)整重寫后的 HTTP Header。
  長亭科技應用安全塔防體系,經(jīng)過產(chǎn)品架構和功能升級,現(xiàn)已全線支持 IPv6,目前包括雷池(SafeLine)下一代Web應用防火墻、諦聽(D-Sensor)內(nèi)網(wǎng)威脅感知系統(tǒng)、洞鑒(X-Ray)安全評估系統(tǒng)在內(nèi)的多款產(chǎn)品已相繼獲得 IPv6 Ready的官方認證,標志著應用安全塔防體系全線產(chǎn)品在IPv6一致性及互聯(lián)互通方面均符合IETF IPv6相關 RFC標準,可進行商業(yè)部署。
  產(chǎn)品 IPv6認證證書
  適配升級提升企業(yè)安全建設價值
  IPv6帶來了充足的地址空間,使絕大多數(shù)使用者無需 NAT,給企業(yè)安全建設帶來諸多價值。
  • 追蹤溯源:IPv6協(xié)議的“超大地址空間”可以從技術上解決網(wǎng)絡實名制和用戶身份溯源問題,實現(xiàn)網(wǎng)絡精準管理。在 IPv6部署過程中,可采用地址編碼技術識別 IP地址類型,地址編碼可精確到區(qū)縣級。因而,安全設備可以對客戶端進行會話跟蹤,同時也方便在攻防對抗的場景下對攻擊者進行溯源;
  • 避免誤傷:減輕了阻斷攻擊源時,由于 IP是公共出口(企業(yè)內(nèi)網(wǎng)、高校內(nèi)網(wǎng)、IDC等)導致的大面積誤傷;
  • 防護控制:方便執(zhí)行更精準的頻率控制與 CC防護規(guī)則。
  IPv4到 IPv6的過渡不可能一蹴而就,針對現(xiàn)階段 IPv6改造的架構部署特點,長亭科技應用安全塔防體系在部署模式、防護策略、流量處理、報文解析等方面都進行了 IPv6適配升級:
  • 采用雙棧方案,同時支持 IPv4-only、IPv6-only和 IPv4/IPv6雙棧協(xié)議的部署模式;
  • 產(chǎn)品內(nèi)核升級 IPv6流量處理能力;
  • 檢測引擎更新支持 IPv6報文解析能力;
  • 配置了相關的防護策略;
  • 進行 IPv6相關數(shù)據(jù)的展示和統(tǒng)計。
  IPv6不僅是互聯(lián)網(wǎng)發(fā)展的必然路徑,也是中國互聯(lián)網(wǎng)技術及相關應用成長的有利契機。融入世界互聯(lián)網(wǎng)大潮,在競爭中尋求進步才真正有益于自身發(fā)展。對企業(yè)而言,IPv6的安全建設正是如此。
 
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

專題

CTI論壇會員企業(yè)