IPv6因地址空間巨大，在應對部分安全攻擊方面具有天然優(yōu)勢，在可溯源性、反黑客嗅探能力、鄰居發(fā)現協(xié)議、安全鄰居發(fā)現協(xié)議以及端到端的IPSec安全傳輸能力等方面提升了網絡安全性。

　　針對《推進互聯(lián)網協(xié)議第六版(IPv6)規(guī)模部署行動計劃》，華為安全給出了IPv6規(guī)模部署下網絡安全防護的詳盡解讀，承接上期IPv6行業(yè)影響，本期聚焦IPv6安全技術。

　　可溯源性

　　IPv6巨大的地址空間為每個網絡設備分配了一個獨一無二的網絡地址，不需要像在IPv4網絡中通過NAT解決地址不足問題，從而有利于事后追查回溯，提高安全的保障性。

　　反黑客嗅探能力

　　由于龐大的IPv6地址，使得在IPv4網絡中常常被黑客使用的嗅探掃描在IPv6網絡中變得更加困難。

　　NDP & SEND

　　在IPv6中，ARP的功能被鄰居發(fā)現協(xié)議(NDP)所代替。鄰居發(fā)現協(xié)議通過發(fā)現鏈路上的其他節(jié)點，判斷其他節(jié)點的地址，尋找可用路由。對比ARP， NDP僅在鏈路層實現，更加獨立于傳輸介質。下一代互聯(lián)網的安全鄰居發(fā)現(SEND)協(xié)議通過獨立于IPSec的另一種加密方式，保證了傳輸的安全性。

　　端到端IPSec安全傳輸能力

　　IPSec為IPv6網絡中的每個節(jié)點提供了數據源認證、完整性和保密性的能力，實現端到端的安全加密。

　　Q1IPv6新增的安全特性與IPv4有什么區(qū)別?

　　IPv6網絡的安全，由于僅是IP包頭、尋址方式發(fā)生了變化，內置了端到端的安全機制，所以相對IPv4，在安全方面IPv6對當前的各種安全風險的防范并沒有太大的提高。

　　Q2基于安全性考慮，IPv4網絡使用NAT技術來隱藏內網IP地址，IPv6網絡是否也需要類似技術來提升安全性?

　　IPv6的NPT(Network Prefix Translation)(RFC6296)協(xié)議可以實現與IPv4 NAT類似的功能，允許IPv6地址的1：1映射，達到隱藏內部IPv6地址的效果。

　　Q3對于應用層攻擊，IPv6網絡的防御手段和方式都有哪些影響?

　　應用層防御功能一般包括協(xié)議識別、IPS、反病毒、URL過濾等，主要檢測報文的應用層負載，幾乎不受網絡層協(xié)議IPv4/IPv6影響，因此，大部分傳統(tǒng)IPv4協(xié)議下的應用層安全能力在IPv6網絡中不受影響。

　　但有少部分IPv4網絡協(xié)議在IPv6網絡下自身需要發(fā)生了變化，比如DNS協(xié)議升級到DNSv6，那么對應的應用層安全檢測需要根據協(xié)議變化進行調整。

　　Q4IPv6在擴展頭中增加了IPSec的端到端加密能力，如果應用開啟了此項功能，那么網絡安全設備該如何檢測和防御加密流量?

　　一般情況下，網絡安全設備無法解密IPSec加密流量，僅能基于IP地址來控制。但從目前的情況來看，這種“內嵌”的IPSec需要使用密鑰分發(fā)技術，總體上并不成熟，管理成本高，另外，由于網絡安全設備正常是無法解密IPSec流量，防火墻等網絡安全設備就無法在網絡&應用層來檢測IPSec流量，從某種意義上，系統(tǒng)的安全性得不到完整的保證。對于一般企業(yè)應用，基于管理成本和安全性考慮，建議仍使用防火墻實現IPSec VPN加解密，并在網關位置進行IPS、狀態(tài)防火墻等安全檢查，待技術成熟后再部署端到端加密。

　　Q5SSL代理功能在IPv6協(xié)議下是否受到影響?

　　SSL代理不依賴于網絡層的具體協(xié)議，仍可以對IPv6 SSL加密流量實現解密。

　　Q6對于IPv6網絡，如何通過防火墻來實現安全策略管理，與IPv4的安全策略有何不同?

　　IPv6與IPv4的安全策略管控是一樣的，仍需要基于ACL的五元組來逐條配置，僅是IPv6地址變長，使得策略配置更加復雜。

　　Q7在現有安全設備上開啟IPv4/IPv6雙棧功能后，在功能和性能上會對IPv4業(yè)務有何影響?

　　開啟IPv4/IPv6雙棧一般不會對安全設備的功能產生影響，主要影響設備的性能，因為IPv6協(xié)議棧會擠占IPv4業(yè)務的CPU和內存等資源，導致現有的IPv4業(yè)務在會話表容量、新建速率、吞吐率上會出現不同程度的下降。建議在升級/開啟IPv4/IPv6雙棧前評估現有安全設備的處理能力，必要時可以替換現有安全設備，避免影響現有IPv4業(yè)務。