◆朱慧

（三江學院計算機科學與工程學院 江蘇 210012）

當前我國的IPv6 網(wǎng)絡正處于蓬勃發(fā)展當中，IPv6 互聯(lián)網(wǎng)活躍用戶總數(shù)已達4.86 億（截至2021 年1 月），全國IPv6 互聯(lián)網(wǎng)活躍用戶總占比達49.1%。中央部委、省級政府、央企、中央媒體網(wǎng)站等基本網(wǎng)站已支持 IPv6 業(yè)務訪問，Top100 的互聯(lián)網(wǎng)門戶及金融央企支持IPv6 比例則在65%以上。在教育領域，高?；ヂ?lián)網(wǎng)也已通過教育網(wǎng)CNGI-CERNET2 快速向IPv6 時代演進，目前國內雙一流大學支持IPv6 訪問的比例已達90.51%，隨著高校IPv6 網(wǎng)絡投入規(guī)模應用，相應的網(wǎng)絡安全漏洞須引起足夠的重視，雖然IPv6 本身已經(jīng)具備一定的安全防范機制，但是若不能做好風險防控和預警，則會讓校園網(wǎng)面臨嚴重的網(wǎng)絡安全挑戰(zhàn)。

1 IPv6 在校園網(wǎng)部署的安全風險

1.1 系統(tǒng)安全風險

（1）繼承自IPv4 的安全威脅

IPv6 協(xié)議在安全性上雖然做了改進，但其數(shù)據(jù)報的傳輸機制并沒有本質改變，因此在IPv4 網(wǎng)絡中普遍存在著針對應用層、傳輸層的惡意攻擊手段：例如DDoS、CC、SQL 注入、網(wǎng)站后門、路由選擇攻擊等也同樣時刻威脅著IPv6 的網(wǎng)絡服務。

（2）IPv6 協(xié)議本身的安全威脅

新增的流標簽字段、擴展報頭的選擇使用以及用來替代ARP 的鄰居發(fā)現(xiàn)協(xié)議均存在安全隱患，易被用來發(fā)起嗅探攻擊。因此擴展報頭攻擊、NDP 協(xié)議攻擊、路由重定向攻擊、ICMPv6 的攻擊等等將是和IPv6 協(xié)議相關的主要攻擊方式[1]。截至 2021 年2 月，在CVE 漏洞庫中與IPv6 相關的漏洞共491 個，涉及華為、思科等數(shù)通硬件產品、Linux、Windows 等操作系統(tǒng)的各個發(fā)行版本，以及Wireshark等網(wǎng)絡維護應用程序等。

（3）校園網(wǎng)IPv4/ IPv6 過渡階段安全風險

高校在過渡階段選擇和采用何種過渡技術，應結合自身網(wǎng)絡的實際情況，如網(wǎng)絡規(guī)模、升級難易、成本考量等。不過在校園網(wǎng)IPv4/IPv6長期共存階段，不論是采用雙棧、隧道、還是翻譯技術，都會引發(fā)新的安全挑戰(zhàn)。

①雙棧機制風險

雙棧環(huán)境下，在校園網(wǎng)內同時并行著 IPv4/IPv6 兩個邏輯通道，因為其中一個協(xié)議的漏洞引發(fā)的攻擊，可能會通過支持雙棧的網(wǎng)絡節(jié)點，在邏輯上的兩張網(wǎng)絡中相互傳播，進而影響整個校園網(wǎng)的正常運行。如圖1 所示，攻擊者可利用 IPv6 協(xié)議棧漏洞，針對雙棧網(wǎng)關發(fā)起 DDoS 攻擊，導致 IPv4、IPv6 網(wǎng)絡均受影響。此外，雙棧意味著校園網(wǎng)出口、數(shù)據(jù)中心防火墻、流控等防護設備要配置雙棧策略，網(wǎng)絡管理更加復雜，被攻擊的概率也會相應增加[2]。

圖1 雙棧機制風險

②隧道機制風險

校園網(wǎng)不能整體升級至雙棧的情況下，可通過在客戶端和路由器之間建立自動隧道（如ISATAP，6to4 等）來完成IPv6 網(wǎng)絡的接入，此時用來新建隧道的出口路由器易成為攻擊節(jié)點，與雙棧環(huán)境類似，攻擊者可利用 IPv6 協(xié)議棧漏洞，發(fā)起對隧道節(jié)點的攻擊，進而影響校內IPv4 網(wǎng)絡，如圖2 所示。

圖2 隧道機制風險

③翻譯機制風險

校園網(wǎng)通過翻譯機制（例如NAT64/IVI）實現(xiàn)IPv4 與IPv6 網(wǎng)絡的互通，也會面臨常見的DDoS 攻擊的風險。如圖3 所示，通過偽造大量 IPv6 地址發(fā)起地址轉換請求，攻擊將導致映射IPv4 地址池快速被消耗，翻譯節(jié)點無法為校園網(wǎng)用戶正常分配轉換地址，進而影響整網(wǎng)運行。

圖3 翻譯機制風險

1.2 網(wǎng)絡設備安全風險

（1）網(wǎng)絡層安全防護風險

校園網(wǎng)的特點是用戶量大，有線、無線終端類型多樣。在IPv6網(wǎng)絡環(huán)境下所有終端均可使用全球單播地址，不需要NAT，也就缺失了NAT 轉換形成的防護。因此校園網(wǎng)出口防火墻、數(shù)據(jù)中心防火墻或其他安全防護設備的安全域劃分應更精細，訪問控制策略配置要更準確。另外，在過渡階段IPv6/IPv4 混合的網(wǎng)絡當中，安全設備要求同時配置雙棧，對設備的性能的要求更高，同時也增加了出現(xiàn)單點故障的概率。

（2）應用層安全防護風險

應用層安全防護設備（例如數(shù)據(jù)中心和校園網(wǎng)出口的Web 應用防護系統(tǒng)、IDS/IPS 等）的IPv6 地址格式配置、針對IPv6 報文的解析能力在網(wǎng)絡規(guī)模部署后還有待檢驗。網(wǎng)絡流量控制、分析系統(tǒng)如流控、探針等也可能存在類似問題，這些能力的不足可能導致針對IPv6流量的SQL 注入、XSS 攻擊以及Web 應用遠程代碼執(zhí)行攻擊等。

類似的風險也會出現(xiàn)在DNS 相關產品上。目前校園網(wǎng)的域名解析多為遞歸和轉發(fā)兩種并存，權威域名一般發(fā)布在遞歸DNS 上。由于DNS 日志中保存了大量域名請求記錄，包含了大量校園網(wǎng)真實的IPv6 地址，所以一旦遞歸DNS 服務器被入侵，非法用戶將竊取海量的真實用戶地址，以期進行精準的地址掃描。若其長期潛伏竊取，則帶來的風險可能要遠大于DDoS 攻擊和DNS 緩存投毒。

（3）業(yè)務系統(tǒng)安全風險

在 IPv6 環(huán)境下，攻擊者針對高校的攻擊，往往是面向 Web 服務和數(shù)據(jù)庫服務，企圖獲取服務器權限和進行遠程命令執(zhí)行，危害高校的 Web 服務安全和數(shù)據(jù)安全[3]。Webshell 后門訪問控制、遠程 SQL 注入攻擊、Webshell 腳本文件上傳攻擊、PHP 代碼執(zhí)行漏洞等是主要的攻擊方式。因此，不管是引入雙棧還是七層反向代理，數(shù)字化校園、站群等業(yè)務平臺及應用系統(tǒng)依然面臨嚴峻的安全挑戰(zhàn)。

2 校園網(wǎng)部署IPV6 的安全應對策略

在校園網(wǎng)各層面全面向IPv6 過渡之時，構建基于IPv6 的安全風險防御體系，并將安防措施應用于 IPv6 網(wǎng)絡規(guī)劃、建設、運行各階段顯得尤為重要。為保障 IPv6 全面部署安全，需從系統(tǒng)安全、業(yè)務安全、管理安全等多方面入手構建安全防范體系。

2.1 系統(tǒng)安全

（1）安全設備升級

現(xiàn)有的網(wǎng)絡安全防護設備（如防火墻、IDS/IPS、WAF 等）在IPv6 相關功能上仍缺乏充分的檢驗和驗證。IPv6 規(guī)模部署后，網(wǎng)絡安全防護設備需從以下三個方面進行升級。

①功能要求。安全防護設備需支持純IPv6 環(huán)境下、過渡期間IPv4/IPv6 雙棧、隧道等場景的功能需求。例如，防火墻設備需要支持IPv4/IPv6 雙棧協(xié)議及過渡時期的常用隧道技術，同時其集成的應用層網(wǎng)關需支持 IPv6 解析，應用識別、病毒檢測、入侵防御IPS 等功能所需的規(guī)則庫均需要升級，以支持 IPv6 或IPv4/IPv6 雙棧場景。

②性能要求。IPv6 報文結構中支持任意數(shù)量的“擴展頭”，防火墻等設備在解析報文時往往需要處理整個 IPv6 頭信息鏈，需要細致地處理包含多個擴展頭信息的數(shù)據(jù)包，甚至是含有異常擴展頭的數(shù)據(jù)包。這些對防護設備提出了更高的性能要求。

③策略要求。在IPv6 與IPv4 混合網(wǎng)絡中，出口和數(shù)據(jù)中心的安全防護設備除了要支持雙棧配置與管理，還應充分考慮 IPv4 和 IPv6 兩個邏輯通道的安全需求，具備對安全策略配置進行一致性檢查的能力。

（2）安全網(wǎng)絡檢測

安全檢測工具（如系統(tǒng)漏掃、WEB 漏掃等）在 IPv6 網(wǎng)絡中難以按網(wǎng)段進行掃描，上述工具的使用調度策略均需研究與優(yōu)化。同時，定制的專項檢測工具也需要支持對指定 IPv6 地址的檢測。

（3）安全網(wǎng)絡監(jiān)測

防病毒、惡意軟件、僵木蠕、DDoS 等互聯(lián)網(wǎng)安全監(jiān)測與處置設備應該支持將惡意域名、數(shù)據(jù)報文特征與 IPv6 地址進行關聯(lián)，形成新的威脅規(guī)則/特征庫，用于網(wǎng)絡安全檢測與防護。例如，防病毒系統(tǒng)需將使用 IPv6 地址的病毒域名入庫，并對所有使用該IP 的域名進行排查，形成關聯(lián)規(guī)則庫。

2.2 業(yè)務安全

校園網(wǎng)IPv6 規(guī)模部署之后，各類面向用戶的業(yè)務平臺均需支持 IPv6 用戶的訪問。根據(jù)業(yè)務系統(tǒng) IPv6 改造的不同實現(xiàn)方式，需在業(yè)務升級中對應地進行安全能力評估，增加相應的防護手段。

①對于采用“雙棧”模式部署的業(yè)務系統(tǒng)，需對雙棧部署導致的業(yè)務系統(tǒng)暴露面增加、脆弱性和威脅加倍等問題進行重點評估，增強安全防護手段。

②對于采用“隧道”模式部署的業(yè)務系統(tǒng)，需重點評估隧道報文被偽造、用戶身份被冒充等風險。

③對于采用“翻譯”模式部署的業(yè)務系統(tǒng)，需重點對翻譯設備的安全防護措施進行評估，防范拒絕服務攻擊等可能導致翻譯設備宕機繼而危及整個業(yè)務系統(tǒng)的風險。

④對數(shù)據(jù)來源多樣、且需要進行關聯(lián)處理的安全業(yè)務系統(tǒng)（如日志系統(tǒng)等），需待下游設備改造支持 IPv6 完畢后再進行改造，防止業(yè)務數(shù)據(jù)缺失。

此外，DNS 升級支持雙棧后應實現(xiàn)針對IPv6 的權威解析及云防護，對于公網(wǎng)用戶對校園網(wǎng)站群的域名解析請求，DNS 能將這些請求（通過AAAA 記錄）轉發(fā)到云防護節(jié)點進行清洗，以保護系統(tǒng)免遭DDoS 攻擊和病毒入侵。訪問數(shù)據(jù)中心站群的數(shù)據(jù)流量也應針對v4/v6 的訪問獨立部署路由，保證互不影響，并為IPv6 流量建立防火墻、WAF 多級防御體系。

2.3 管理安全

網(wǎng)站監(jiān)控、惡意軟件監(jiān)控等可通過IP 地址來進行管理的系統(tǒng)應具備IPv6 黑/白名單的能力，并能基于黑名單實現(xiàn)識別與封堵。在IPv6 規(guī)模部署后，流控、DNS、日志系統(tǒng)在升級支持 IPv6 的同時，還需針對流量控制、域名管控、異常流量檢測等安全功能進行測試。防病毒、惡意軟件、DDoS 等安全管控系統(tǒng)中各規(guī)則庫（如惡意 URL、惡意攻擊IP 等）關聯(lián)的 IP 地址庫也要及時更新。與IPv6 黑白名單地址相關的威脅情報信息要及時收集整理。

3 結語

IPv6 在校園網(wǎng)的全面推廣應用，應始終遵循安全先行的標準和規(guī)范。在推進之初，即應結合過渡階段的網(wǎng)絡與系統(tǒng)的建設需求，梳理 IPv6 帶來的安全風險，盡可能地在系統(tǒng)規(guī)劃和設計之中涵蓋IPv6安全方案。在實施部署IPv6 網(wǎng)絡過程中，優(yōu)先開展 IPv6 安全測試工作，及時發(fā)現(xiàn)網(wǎng)絡設施中的具有安全風險的節(jié)點或設備，并及時進行調整。同時，通過引入安全設備，尤其是在校園網(wǎng)出口門戶和數(shù)據(jù)中心，來構建安全態(tài)勢感知和業(yè)務安全保障能力，積極開展主動防御。對于新上線業(yè)務或原有業(yè)務系統(tǒng)升級支持IPv6，在上線前需嚴格開展安全風險評估，根據(jù)評估結果決定能否上線。后期運行維護則更要定期進行風險評估檢查、監(jiān)測和審計，以保證安全能力符合安全管理要求?？偠灾?，校園網(wǎng)IPv6 的安全發(fā)展，任重道遠。