通信设备行业点评报告:IPv6号角再次吹响,企业网

作者:互联网科技

原标题:IPv6规模化部署下互联网企业IPv6安全升级与实践

事件:中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,行动计划旨在加快推进基于(IPv6)的下一代互联网规模部署,提出用5-10年时间,国内建成最大规模的商用Ipv6网络。

图片 1

雷锋网编者按:随着5G、IoT、云计算技术的不断成熟,万物互联时代即将到来,随之而来的是海量的终端设备接入需求,目前IPv4地址空间已不足以支撑未来发展要求,由于IPv4地址的枯竭,其交易价格也在不断攀升,各相关企业也有实际的IPv6升级需求。

    新时代互联网发展之路--IPv6迫不及待

图片 2

从政策方面来看,自去年11月国务院颁布针对互联网协议第六版(Internet Protocol Version 6,下称“IPv6”)的规模部署行动计划以来,如何围绕IPv6升级安全系统也成为各行业热议的话题。9月6日,在2018 ISC互联网安全大会上,阿里安全猎户座实验室高级专家东帆带来了《Pv6规模化部署下互联网企业IPv6安全升级与实践》的演讲,分享了阿里巴巴针对IPv6的改造及安全解决方案。

    中国经济增长引擎离不开新经济,新经济的承载都伴随着互联网,文件重点强调加快Ipv6规模部署是网络强国战略的紧迫需求:1)IPv6可提供充足IP地址(340万亿个),随着ipv4地址(40多亿)资源耗尽,Ipv6是互联网演进升级的必然趋势;2)IPv6是技术产业创新发展的重大契机,IPv6的规模部署不仅是互联网的一次全面升级,并将高效支撑移动互联网、物联网、云计算、AI等新技术新业态的繁荣和发展;3)是强化网络安全能力的迫切需要,相比ipv4,IPv6在网络安全问题上更具优势(效率和机制等)。

上海银行信息技术部数据中心网络通讯部高级副经理 马永祥

以下演讲来自阿里安全猎户座实验室高级专家东帆,雷锋网编辑。

    IPv6网络目标直指全球第一,应用、网络、安全、技术要求全线跟进

上海银行于2018年8月率先完成IPv6应用部署试点,通过双栈接入改造的方式,完成了门户网站、个人网银等系统的IPv6发布。为推进上海地区金融行业基于IPv6的下一代互联网规模部署奠定基础。IPv6改造难点与挑战

图片 3

    计划指出用5到10年时间,我国要建成全球最大规模的IPv6商用网络,其中2018年末,IPv6活跃用户数达2亿,互联网用户中的占比不低于20%;2020年IPv6用户数达5亿,互联网用户中的占比不低于50%。根据APNIC IPv6统计数据,中国过去五年IPv6采用率都在2%以下,可见发展空间巨大。 文件指出,IPv6推进遵循典型应用先行、移动固定并举、增量带动存量的发展路径。首先,典型应用(门户、社交、视频、电商、搜索等)、政府、中央媒体、中央企业等网站升级全面支持IPv6;其次,推动电信运营商的移动和固网、广电网络,以及终端网络设备进行升级改造支持IPv6;再次,在数据中心、CDN、DNS系统、监测平台上加快改造;最后,在网络安全系统、地址管理、安全防护以及新兴关键技术上强化升级和突破。我们认为,IPv6的规模推进,要求应用、内容、网络、终端、安全全面升级,产业链相关环节有望迎来新机遇。

加快推进IPv6的规模部署已成为金融机构近3年的一项重要工作。但对于金融机构而言,其业务系统与基础设施规模庞大,改造工作将面临较大挑战,主要难点与挑战来自5个方面。

当前运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等IPv6规模化部署均按照行动计划要求大力推进中,加速构建高速率、广普及、全覆盖、智能化的下一代互联网。

    产业链有望迎来新机会,重点关注网络设备商、企业网设备商、终端厂商

一是协议兼容性挑战。虽然IPv6和IPv4是功能相近的网络层协议,但由于协议之间差异较大,两个者并不能相互兼容或直接通讯,因此金融机构推进IPv6部署过程中,无法一蹴而就地实现协议升级换代,势必经历漫长的中间过渡阶段。期间无论是客户端和服务端的通讯,还是不同服务端之间的通讯,都应制定合适的过渡方案,以支撑应用系统的平滑改造。

图片 4

    从文件规格、具体目标、详细规划看,此次IPv6计划力度较大,产业链有望迎来投资新机遇。我们认为,IPv6推广将围绕运营商、内容/应用提供商和终端厂商、数据中心、CDN等来展开。其中运营商需要采购或升级网络设备(交换机、路由器等)来承载IPv6并强化安全,则国内设备商华为、中兴通讯、烽火通信受益;我们认为,运营商骨干网和多数城域网很多已支持IPv6,更大瓶颈在于企业、家庭接入端和终端的普及率低,所以做企业网络和家庭接入/数码设备的厂商星网锐捷、华三、神州数码在未来的IPv6规模推进中将显著受益。同时注意到,教育网是目前国内最成熟的IPv6应用网络,而星网锐捷在教育市场份额长期稳居第一,公司在支持IPv6的企业网络解决方案上优势凸显。重点推荐:星网锐捷、中兴通讯、烽火通信。

二是协议改造涉及面全面较广。需考虑基础设施和应用软件两个部分。改造后的基础设施需同时支持IPv4及IPv6协议,以满足不同场景的互联互通需求。需改造的基础设施类型较多,包含但不限于服务器、域名解析设备、网络通讯设备、负载均衡、安全防护设备等。金融行业的基础设施升级,需制定详细的升级、更新换代策略,通常需经历方案制定及版本的评估、测试环境的验证、生产环境的逐步升级改造等一系列流程。

按照部署计划,到2018年末,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%,到2020年末,IPv6活跃用户数超过5亿,在互联网用户中的占比超过50%,新增网络地址不再使用私有IPv4地址,到2025年末,我国IPv6网络规模、用户规模、流量规模位居世界第一位。

应用软件部分,需要评估软件中是否涉IP协议相关的代码,例如socket对象的调用,在定义socket对象时需指定IP协议的版本,因此应用系统可能需进行相应的代码改造。同时还需梳理IP地址信息是否需要交易过程中进行存储,例如在数据库中存储。由于IPv6地址的大小是IPv4地址的4倍,所需的存储空间存在差异,若应用系统需要对IP信息进行记录和存储,需对信息存储的全过程进行梳理,并做相应调整。

我国整个网络环境将随网络、应用、终端全面支持IPv6以及IPv6网络规模、用户规模、流量规模的增长发生翻天覆地的变化, 新的网络环境以及新兴领域将同时面临新的安全挑战。

三是互联网安全攻防形势复杂严峻。目前金融行业的安全防护体系中,对于IPv6的关注度及支持度相对较弱,并且缺少相关防护案例与经验。各电信运营商提供网络安全防护服务,也需针对IPv6推广部署进行相应升级改造。因此各行业针对IPv6协议的安全防护能力尚处于建设和完善阶段。根据木桶短板理论,任何一类安全能力的缺失都会形成安全防护的漏洞,会对金融机构的安全体系留下隐患。因此推广前需充分评估现有安全防范体系是否能有效防御基于IPv6的网络攻击。

当前IPv6规模化部署实际推行过程中面临众多问题与挑战,如网络设备升级、IPv6路由管理分配、IPv6编址规范及分配、双栈、过渡技术、应用与业务兼容适配等,与此同时IPv6安全解决方案及产品升级也遇到极大的挑战,而且IPv6规模化部署与安全升级互相促进互相影响。

四是行业生态处于发展阶段。2017年起,我国IPv6协议部署进入快速推广期。互联网中IPv6用户群体会不断增多,但IPv6的服务能力、网络稳定性相较于IPv4仍需要逐步的完善和提升。金融行业推进IPv6应用部署,对外部配套资源的依赖度较大,因此宜保持适中的部署和发展节奏。同时需充分评估IPv6网络基础设施的稳定性、性能等因素,以降低改造工作对业务的影响。解决问题的思路与措施

前文《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》,已从IPv6协议安全威胁结合互联网网络安全运营视角介绍了面临的新的安全威胁及加固建议,本文重点从互联网企业IPv6规模化部署实际推行过程中面临的问题、安全影响及IPv6安全方案视角进行分析,同时介绍互联网企业IPv6网络安全升级的相关实践。

面对IPv6改造的难点与挑战,保障改造过程中业务系统平稳运行,上海银行采用以下解决思路。

互联网企业IPv6规模部署改造升级

一是制定改造方案,合理规划改造范围。IPv6改造的有NAT64和双栈改造两种方案,在技术上均可满足应用IPv6改造需要。对比两种解决方案,NAT64方案在地址转换后会增加IP地址溯源的复杂度,不利于后期的生产运行维护、问题排查、安全防护等要求。因此上海银行在IPv6改造方案上,选择了双栈改造的策略。

IPv6改造涉及应用、云、管、端等整体改造,涵盖运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等,IPv6是网络,是IT infrastructure,更是整个生态能力的提升。

在明确使用双栈改造方案后,需评估改造范围,包含基础设施的改造范围和应用的改造范围。由于金融机构业务的复杂性,内部基础设施规模较大、架构复杂度较高,不宜开展大范围的协议改造,适合将双栈改造聚焦在局部范围内,既满足应用系统IPv6的发布需求,同时又降低改造工作对银行业务连续性的影响风险。上海银行基础设施遵循垂直分层、水平分区的原则,划分为多个安全区,应用系统也根据安全架构划分进行对应的部署。以个人网银系统为例,将WEB服务器部署于互联网接入区,并配套完善的安全防护措施,将APP服务器、DB服务器部署于互联网服务区,后台账务核心系统则位于安全等级更高的区域中。双栈改造的工作仅限定在互联网接入区,并对WEB服务器进行双栈改造,即互联网至个人网银WEB服务器的相关路径上提供IPv6、IPv4接入能力,WEB服务器至后台应用服务器保持不变,仍然采用IPv4进行互通。一方面应用及基础设施的改造量较小,有效控制改造风险,另一方面也可满足互联网应用系统快速实现IPv6部署要求,具有较好的扩展性和推广性。

互联网企业IPv6规模部署改造升级主要涉及网络设备、IPv6协议栈(含DNS/BGP/OSPF等协议栈)、网络管理(含海量自动化、监控工具开发等)、L4-L7网关(SLB/WAF/FW/LVS等)、IPv6地址/路由管理等、互联网质量监控和流量调度、全球质量探测系统、安全产品及防护(DDoS防护、流量清洗、网络隔离监控、业务风控等)等。

二是梳理各组件IPv6协议的支持情况,并制定相应升级方案。根据规划,上海银行将双栈改造范围限定在互联网接入区中。该区域中设备类型包含:交换机、负载均衡器、DNS、GLSB、SSL卸载等基础硬件,又包含IPS、抗DDOS、防火墙、WAF等安全设备。需对该区域内所有设备进行双栈改造,逐一指定升级方案。其中大部分基础硬件对IPv6支持度比较成熟,部分设备可能需要通过软件升级来支持IPv6协议,少数老旧设备需进行硬件替换。

自2012年全球IPv6网络正式启动以来,阿里巴巴就已开始着手IPv6的网络研发的设备选型及升级路线改造,阿里云已是目前国内唯一一家全面提供IPv6服务的云厂商。

DNS、GSLB设备除了自身需要具备双栈接入能力外,还需具备AAAA记录发布能力。一方面要发布相关应用系统的AAAA记录,另一方面该类设备的NS记录也应有对应的AAAA记录。

阿里巴巴 IPv4 到 IPv6 的演进以及 IPv6 规模化部分改造遵循先外部后内部,以双栈技术为过渡的原则。

应用系统改造方面,由于上海银行应用架构采用分层架构,且前置WEB层服务器不涉及业务逻辑代码,仅存储静态资源并负责流量转发,无需进行业务逻辑代码层面调整,因此也不会导致关联应用系统的同步改造。但个人网银系统在记录交易流水时,需在数据库中记录终端IP信息,因此需对端数据库中的IP地址字段大小进行调整,改造复杂度较低。

截止目前阿里云现已上线发布SLB、IPv6转换服务、云解析DNS、CDN、OSS、RDS六款产品,按照国家IPv6行动计划和统筹安排,阿里巴巴正在大力推进IPv6改造升级,2018年底前TOP50互联网企业应用(淘宝、天猫等)改造完成,可具备IPv6访问能力,同时阿里云产品会为客户提供端到端的IPv6解决方案,完成IPv4和IPv6双栈改造,50%云产品支持IPv6,包括VPC,ECS等。

三是确保业务连续性能力、安全防护能力不低于原有水平。金融机构格外重视业务连续和安全防护能力建设,在推进IPv6部署中应确保两个能力不下降。上海银行采用“大同城、小异地”的建设策略,互联网应用系统IPv4服务能力均按照同城双活、异地应用级灾备的策略进行建设。在推进IPv6应用部署的高阶设计中,已经规划了远期方案,实现同等的业务连续性能力。在试点阶段,优先在同城副中心实现双栈接入,并计划通过3年的建设周期,全面实现IPv6的同城双活接入能力,并完成全量互联网应用的双活和双栈改造。在安全防护方面,划拨专项费用用于安全设备升级换代,确保互联网系统应对基于IPv6协议的攻击,同时还与运营商紧密沟通,及时了解针对IPv6专线的安全防护产品,并采购相应的防护服务。

图片 5

四是加强跨行业的沟通协调。金融行业IPv6部署,除了完成自身基础设施和应用系统改造外,还依赖电信运营商提供IPv6的接入能力及技术支撑。因此与各大运营商及相关监管机构保持紧密沟通,对IPv6的部署工作尤为重要。上海银行在项目试点过程中,与人民银行上海分行、上海市通信管理局、上海电信、上海联通、上海移动组成联合项目组,共同开展方案评审、项目验收等工作。在配套政策、问题协调方面得到了大力支撑,也为试点项目顺利完成奠定了基础。

阿里安全在阿里巴巴IPv6升级改造过程中基于新一代网络架构演进、协议栈变化、中间件、应用及业务等升级改造提前识别新的安全威胁、攻击面及影响,结合互联网业务改造节奏确定IPv6安全解决方案,升级整体IPv6安全检测能力及安全产品,支撑各产品为客户提供安全可靠的服务。

五是加强配套运维能力建设,提升客户体验感知能力。国内IPv6生态尚处于发展阶段,IPv6服务能力比较IPv4还有一定差距。IPv6应用上线之后,应关注外部环境变化对用户体验的影响。上海银行也在同步推进配套运维能力建设,包括但不限于监控能力、客户体验感知能力、自动化运维能力等。IPv6推广部署的后续工作

企业IPv6规模部署下的八大安全挑战

根据一行两会联合发布的《关于金融行业贯彻〈推进互联网协议第六版规模部署行动计划〉的实施意见》工作要求,2019年上海银行将继续推进IPv6的推广工作,完成门户网站、个人网银等应用IPv6同城双活改造,并开展手机银行的IPv6部署试点。在未来的两年时间中,逐步推进其余互联网应用IPv6部署,全面完成所有面向公众的互联应用的IPv6改造工作。

1、 IPv6协议栈安全

订阅《金融电子化》《金融安防》《金融客服》

新的协议栈开始规模化部署,会带来新的攻击方式和攻击面,例如分片攻击、扩展头攻击、NDP攻击等,需要提前做好服务器以及网络设备等协议栈安全配置及加固,可以参考《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》。

可登陆官方淘宝店铺:

2、 IPv6安全检测及扫描

有疑问可拔打电话:010-88232440-858进行咨询

IPv6 128位地址空间解决了网络地址资源数量的问题,也为物联网的发展提供了基础,同时地址空间变大使得攻击方实施IPv6扫描非常困难,但对于安全防护人员进行网络安全检测扫描也带来了新的挑战。

图片 6

3、 IPv6 DNS安全

IPv6网络扫描困难难以实施的情况下攻击方可能会寻找新的攻击方式,公共节点例如DNS等可能会成为优先的攻击目标,需要提前考虑应对。

4、 IPv6 DDoS防护及黑洞

DDoS防护涉及用户IPv6编址规范、运营商IPv6黑洞路由支持以及互联网企业安全产品改造并对接,需要多部门及各厂商共同改造并协同配合,挑战很大。

5、 IPv6 业务风控

IPv6地址是业务风控策略中关键的一环,如何更快更智能化地升级安全防控能力,并精确快速区分恶意用户及精确溯源,涉及网络、业务、应用等,需要更全面更系统地梳理应对。

6、 IPv6 安全产品改造

安全产品(WAF/FW/IDS/IPS等)IPv6升级后与IPv6地址相关的策略及逻辑均要改造涉及,涉及面大,改造成本高。

7、 IPv6 网络安全

IPv6地址空间大,需要做好规划及地址分配策略,同时网络访问控制及隔离、扫描都要配套升级。

8、 IPv6过渡技术安全

IPv6各种过渡技术(例如隧道技术、翻译技术、IPv6/IPv4双栈技术等)安全控制措施默认情况下并不完善,需要结合认证、加密、完整性、访问控制等其他方案综合控制风险。

互联网企业IPv6安全升级及实践

从互联网企业安全架构来看,IPv6安全升级主要改造在系统层、网络层、存储层、应用业务层以及安全管理。

系统层:主要涉及端(PC、移动端以及IoT等)、服务器、网络设备相关系统改造,安全升级主要包括:IPv6协议栈安全配置加固、IPv6服务端口最小化开放、安全补丁、IPv6协议扫描及漏洞检测等。

网络层:安全升级主要包括网络设备IPv6安全配置加固、IPv6网络地址/路由规划、IPv6访问控制及隔离、IPv6网络路由安全策略、IPv6黑洞路由防DDoS、DNS/SLB/LVS/FW/IDS IPv6、定向IPv6网络扫描等。

存储层:安全升级主要包括IPv6地址库数据、黑灰产恶意IPv6数据、规则算法模型等。

应用业务层:安全升级主要包括应用漏洞扫描、WAF、CC防御、反爬虫、反欺诈/作弊及其他业务风控策略等升级改造,特别是基于IP的访问控制、基于IP的地址位置、基于IP的关系网等方面。

安全管理:安全升级主要包括IPv6相关的认证、鉴权、审计以及SIEM安全信息和事件管理。

另外,互联网企业IPv6规模部署和安全升级过程中,涉及到“云、管、端”,除了移动终端等厂商外,运营商是非常重要的,云和端的设备占到中国网民99%以上的规模,像中国联通、中国移动、中国电信以及教育网也是IPv6推动里面最强的一股力量,也是最核心的一部分,特别是用户IPv6地址编址及分配规范、精确溯源以及防DDoS等方面,在IPv6安全升级落地终端、运营商以及互联网企业IPv6安全需要统筹同步建设,各方协同配合才能更好地共建更安全更高效的新一代IPv6网络。

互联网IPv6安全未来展望

随着新一代互联网络的规模化部署和发展,IPv6网络规模、用户规模、流量规模快速增长,对于互联网IPv6安全未来发展有几点自己的看法,希望对大家做好IPv6安全防护有所帮助。

1、建立自主可控完备高效的IPv6安全防护网络需要从标准、应用、端、管、云及各行各业的共同努力,特别是IPv6编址、精确溯源等方面需要政府主导规范、行业间共建共享。

2、IPv6协议栈稳定会有一个过程,随着支持IPv6应用逐步上线,用户流量上一定规模,会有新一轮新形式的IPv6攻防对抗,特别是在业务风控、防DDoS、IPv6协议漏洞挖掘等方面。

3、IPv6随着政策牵引以及5G、IoT、云计算等对于IP地址需求大的业务不断成熟,会迎来一个快速发展期, IPv6安全产品及检测防护升级需要重点投入并提前READY,确保新一代IPv6网络安全风险可控。返回搜狐,查看更多

责任编辑:

本文由永利电玩城发布,转载请注明来源

关键词: 永利电玩城