由于目前可用的IPv4地址资源已基本消耗殆尽,为满足物联网时代的海量智能终端联网需求,IPv6的规模部署与发展开始越来越受到人们的关注,IPv6除了IP地址资源极其丰富之外,还更安全,响应更快,有着IPv4无可比拟的优势。
2019年1月10日,中国人民银行发布关于金融行业贯彻《推进互联网协议第六版(IPv6)规模部署行动计划》的实施意见,提出到2019年底,金融服务机构门户网站支持IPv6链接访问。基于IPv6安全特点,金融行业针对 IPv6网络构筑既能有效防范IPv6安全风险,又不低于现有 IPv4网络等同防护能力的安全防护体系。
在国家和行业政策的大力支持与推动下,截至2019年初,许多大型金融机构、互联网企业的 IPv6改造建设都在如火如荼的进行。网络运营商也初步开放了公网IPv6的访问,企业在进行IPv6规模化部署时,应从以下几个方面做好应用层安全防护。
1、IPv6应用层安全产品、设备适配性
IPv6网络中同样需要WAF、漏洞扫描、蜜罐、VPN、IDS(入侵检测系统)、网络过滤等网络安全设备和技术。由于IPv6的一些新特性,IPv4网中现有的这些安全设备在IPv6中不能直接使用,需要升级改进。其次,IPv4向IPv6过渡过程中,IPv6协议栈会挤占IPv4业务的CPU和内存等资源,导致现有的IPv4业务在会话表容量、吞吐率上会出现不同程度的下降。因此,对现有安全设备、安全系统处理能力进行全面评估和升级,提升设备、系统的适配成程度至关重要。
2、过渡支撑技术
由于地址设计原因,IPv4无法访问到IPv6网络,IPv6网络无法平滑实现过渡。为了向IPv6网络逐步演进,需要选用合适的过渡支撑技术,以保证金融、互联网等企业在IPv6改造后需要能够同时对IPv4-only、IPv6-only以及IPv4/IPv6共用的用户提供访问。
3、流量处理能力
IPv6时代,互联网流量较从前大幅攀升,随之为应用层流量分析清洗设备的负载和安全性造成压力。应用层安全产品需要具备能够在 IPv6环境下进行部署,并对 IPv6流量进行检测的能力。
4、报文解析能力
IPv6的报文结构与 IPv4有较大区别,引入了多首部的概念、改变了 IPv4报文首部的部分字段名称与格式、取消了“首部校验”字段。因此,部署在 IPv6环境下的应用安全产品应具备支持 IPv6的报文解析能力。
IPv6,多ip服务器,邮件服务器,IPv6具备着满足我们对未来物联网的各种要求的特性。虽然现在未能普及,但历史大潮必将不可逆转!IPv6能够提供更广泛的互联网连接,促进物联网、人工智能等新技术应用的发展,是全球公认的下一代互联网解决方案。海域网应用安全塔防体系全面升级IPv6防护服务,帮助企业应对新出现的应用层安全威胁,提升企业安全建设价值。
粤公网安备44030402000391号
