寧夏回族自治區(qū)生態(tài)環(huán)境信息與應(yīng)急中心 許國棟

近年來，隨著新基建的發(fā)展，特別是5G、物聯(lián)網(wǎng)、云服務(wù)、數(shù)據(jù)中心等增量大規(guī)模建設(shè)的需求，這些“新增量”可以完全基于IPv6、甚至純IPv6進行部署來提質(zhì)、降本、增效。因此，在構(gòu)建IPv6網(wǎng)絡(luò)過程中如何保障網(wǎng)絡(luò)整體的安全性和穩(wěn)定性，最大限度做好網(wǎng)絡(luò)安全防護和風險應(yīng)對就顯得至關(guān)重要。基于此，本文對IPv6網(wǎng)絡(luò)協(xié)議的安全風險點進行了研究并提出了幾點安全應(yīng)對建議。

“互聯(lián)網(wǎng)之父”文頓·瑟夫博士曾表示：“IPv4是實驗網(wǎng)絡(luò)，IPv6網(wǎng)絡(luò)是未來發(fā)展的必由之路?！?，IPv6網(wǎng)絡(luò)是全球公認的下一代互聯(lián)網(wǎng)商業(yè)應(yīng)用解決方案。當前，IPv6網(wǎng)絡(luò)協(xié)議技術(shù)水平正在高速發(fā)展，性能也在持續(xù)不斷提高，截至2022年7月，IPv6互聯(lián)網(wǎng)活躍用戶量達到6.93億，占互聯(lián)網(wǎng)網(wǎng)民總數(shù)的67.1%，用戶群體日趨龐大。在各個行業(yè)領(lǐng)域中，信息化基礎(chǔ)設(shè)施建設(shè)明顯增速，新基建的快速發(fā)展有效推動了IPv6的建設(shè)進程，事實上，IPv6可以理解就是當前和未來一段時間新基建的建設(shè)和發(fā)展基礎(chǔ)。那么，一旦IPv6安全出現(xiàn)了問題，新基建的安全和穩(wěn)定發(fā)展也就岌岌可危。因此，針對IPv6網(wǎng)絡(luò)協(xié)議經(jīng)常出現(xiàn)的安全風險點進行分析和預防，形成一種科學合理的安全防范體系和應(yīng)對措施，避免對網(wǎng)絡(luò)的整體運行性能和實施效果造成影響，從而達到增強IPv6網(wǎng)絡(luò)安全防護的目的[1]。

1 IPv6網(wǎng)絡(luò)協(xié)議

2011年底，IPv4地址已經(jīng)基本售罄，IPv6開始大規(guī)模啟用，相比IPv4的地址空間，IPv6整體有了極大地提升，與此同時，它還具備網(wǎng)絡(luò)前綴，能夠?qū)ψ泳W(wǎng)開展標定，這在一定程度上拓展了它的子網(wǎng)地址，可以進一步彌補IPv4網(wǎng)絡(luò)地址較少的不足，換句話說，IPv6可以理解為有近似無窮個地址空間，根本不需要像IPv4一樣借助NAT來擴展地址空間，同時，龐大的地址空間能實現(xiàn)對網(wǎng)絡(luò)絲質(zhì)的按層次劃分，減少路由表的規(guī)模大小。報文結(jié)構(gòu)相對IPv4來說也進行了優(yōu)化， IPv6包頭包含兩部分內(nèi)容，一部分是固定的報文內(nèi)容；另一部分是擴展的報文內(nèi)容。針對各種各樣的協(xié)議，IPv6均能夠很好地完成分區(qū)，同時還能開展獨立存儲，這樣就可以盡快對它的協(xié)議頭開展處理，配置靈活方便，使得數(shù)據(jù)包的處理效率更高，支持的業(yè)務(wù)類型更豐富。就IPv6網(wǎng)絡(luò)來看，IPsec協(xié)議的使用能夠?qū)崿F(xiàn)端到端的安全，在各個端口之間可以有效確保其安全性，也是比IPv4網(wǎng)絡(luò)的安全性高。另外，IPv6還強化了移動終端的移動特性，降低了網(wǎng)絡(luò)部署的操作難度，實現(xiàn)了IP地址的自動配置。IPv6相對于IPv4的優(yōu)勢簡要介紹如表1所示。

表1 IPv6協(xié)議和IPv4協(xié)議的幾點比較Tab.1 Comparison between IPv6 protocol and IPv4 protocol

IPv6網(wǎng)絡(luò)協(xié)議的不斷深入發(fā)展為提高網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全創(chuàng)新機制提供了新方式、新思路、新方向，在網(wǎng)絡(luò)地址精準管理、數(shù)據(jù)傳輸加密、事后追蹤溯源上均有很好的安全保障。但不可忽視的是，IPv6網(wǎng)絡(luò)傳輸?shù)谋举|(zhì)并沒有變化，所以在實際應(yīng)用上仍會有一系列的安全問題產(chǎn)生，需要引起高度重視。如IPv6網(wǎng)絡(luò)全新協(xié)議本身，目前一些地方構(gòu)建的IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過渡階段演進技術(shù)上，以及在IPv6網(wǎng)絡(luò)協(xié)議應(yīng)用管理方面和設(shè)備功能支撐層面等均存在一定的安全風險。

2 IPv6網(wǎng)絡(luò)風險分析

2.1 IPv6網(wǎng)絡(luò)協(xié)議的安全風險點

當前在用的IPv6網(wǎng)絡(luò)協(xié)議，在最早設(shè)計時已經(jīng)強化了對安全層面的考慮，但是依舊無法考慮和規(guī)避所有的安全風險問題。首先是超大的地址數(shù)量雖然解決了地址短缺的問題，但是海量的地址空間給安全檢測工作帶來了巨大的難題，進行大規(guī)模的地址查詢難度較大且十分復雜；其次是靈活的擴展報文內(nèi)容和全新的流標簽，提升了數(shù)據(jù)包的處理效率和提供了個性化的網(wǎng)絡(luò)服務(wù)，但同時也成為了攻擊和入侵的切入點，在實際運行中會受到NDP攻擊、路由重定向攻擊等安全風險，導致出現(xiàn)攔截和篡改數(shù)據(jù)包的情況發(fā)生。

2.2 IPv4和IPv6共存網(wǎng)絡(luò)的安全風險點

IPv4和IPv6網(wǎng)絡(luò)協(xié)議并不兼容，兩者無法直接相互通信，目前構(gòu)建的網(wǎng)絡(luò)協(xié)議中采用了IPv4向IPv6過渡的演進技術(shù)，在IPv4向IPv6過渡時，產(chǎn)生的漏洞可以被攻擊者利用并繞開安全監(jiān)測來開展攻擊行為，常見的3種過渡協(xié)議有雙棧協(xié)議、隧道機制協(xié)議、翻譯機制協(xié)議。在雙棧環(huán)境下，IPv6和IPv4兩個邏輯通道，其中一個出現(xiàn)漏洞引發(fā)的攻擊均會導致支持雙棧網(wǎng)絡(luò)節(jié)點的方式，對其邏輯上的兩張網(wǎng)絡(luò)之間相互傳播處理，從而對網(wǎng)絡(luò)造成直接影響；在隧道機制環(huán)境下，因現(xiàn)有網(wǎng)絡(luò)很多無法實現(xiàn)整體升級，必須利用客戶端或路由器的方式進行自動化隧道的構(gòu)建來實現(xiàn)對IPv6的接入，而這種隧道出口路由器就成為了攻擊者的攻擊目標，一旦其隧道節(jié)點受到攻擊就會導致整體網(wǎng)絡(luò)的安全性受到嚴重影響；在翻譯機制環(huán)境下，最常見的是DDos攻擊威脅，通過制造大量的NAT轉(zhuǎn)換請求，導致翻譯節(jié)點無法實現(xiàn)對用戶的正常分配，就會對整體網(wǎng)絡(luò)的安全性帶來極大的威脅[2]。

2.3 IPv6網(wǎng)絡(luò)在產(chǎn)業(yè)和管理方面的風險點

當前構(gòu)建的網(wǎng)絡(luò)中，IPv4用戶和設(shè)備數(shù)量龐大，大部分應(yīng)用仍處在IPv4網(wǎng)絡(luò)環(huán)境中，IPv6網(wǎng)絡(luò)僅占目前整個龐大網(wǎng)絡(luò)的極小部分，在局部范圍形成小范圍“孤島”網(wǎng)絡(luò)，而且大多數(shù)網(wǎng)絡(luò)設(shè)備只能支持IPv4協(xié)議，雖然也有極少數(shù)支持IPv6協(xié)議的設(shè)備在用，但其具備的安全防護能力也十分有限，根本無法有效應(yīng)對，一旦IPv6大規(guī)模推廣應(yīng)用將會衍生出來一系列安全隱患問題。另外，IPv6的海量地址可以滿足全球所有終端的單播地址使用，無需借助NAT來轉(zhuǎn)換，但同時也失去了NAT的保護機制，且大量的地址空間在分配和管理上難度極大。在IPv6網(wǎng)絡(luò)的實際管理過程中，由于管理機制和管理模式不完善，無法做到管理措施的合理應(yīng)用，還有因缺少管理經(jīng)驗導致無法擬定科學合理的安全管理制度。

3 部署IPv6的安全應(yīng)對措施

在加快IPv6網(wǎng)絡(luò)部署的工作中，如何有效建立基于IPv6網(wǎng)絡(luò)協(xié)議下的安全風險防御體系，在后續(xù)網(wǎng)絡(luò)規(guī)劃以及建設(shè)的過程中，保障各方面的安全性與穩(wěn)定性[3]。

3.1 在管理和行業(yè)層面的安全保障

對IPv6網(wǎng)絡(luò)協(xié)議管理，應(yīng)采用科學、合理的方式，強化整體網(wǎng)絡(luò)的安全性。首先，對IPv6網(wǎng)絡(luò)協(xié)議應(yīng)在政府層面上制定政策制度和各項技術(shù)規(guī)范標準，并做好對IPv6網(wǎng)絡(luò)協(xié)議部署過程中的安全管理和實時監(jiān)督。其次，行業(yè)內(nèi)需要大力研制與更新支持IPv6的安全網(wǎng)絡(luò)設(shè)備[4]，推進通信行業(yè)的全部內(nèi)容資源對IPv6的支持。提高網(wǎng)絡(luò)協(xié)議部署者的職業(yè)素質(zhì)和專業(yè)素養(yǎng)，使他們能夠熟練地掌握整個網(wǎng)絡(luò)的安全技術(shù)，防止在網(wǎng)絡(luò)部署中出現(xiàn)安全隱患，及時發(fā)現(xiàn)并進行相應(yīng)的風險防范和控制，以免對網(wǎng)絡(luò)的安全性產(chǎn)生影響。最后，建立健全網(wǎng)絡(luò)協(xié)議安全管理體系，對存在的安全問題進行嚴厲的處罰，從而提高IPv6網(wǎng)絡(luò)協(xié)議的實際使用效率。另外，為了保證IPv6網(wǎng)絡(luò)協(xié)議在實際使用中的安全性和穩(wěn)定性，不容忽視的一點是，需要投入大量的人力物力對IPv6相關(guān)的設(shè)備、網(wǎng)絡(luò)、技術(shù)進行全面有效的測試，并根據(jù)其特點，有針對性的制訂相應(yīng)的測試計劃并逐項落實。在現(xiàn)階段的基建網(wǎng)絡(luò)建設(shè)中需要進行更加精密的劃分，保證安全訪問控制策略配置的精確度能夠達到更高。

3.2 在系統(tǒng)安全層面的構(gòu)建措施

（1）設(shè)備更新。目前使用的網(wǎng)絡(luò)安全保護技術(shù)對IPv6的某些功能還存在著安全隱患，所以在實際應(yīng)用中，必須對部分設(shè)備進行整體的安全保護和調(diào)整，從而達到較好的處理效果[5]。（2）功能要求。在使用防火墻的過程中，應(yīng)該結(jié)合工作需求采用可行的過渡技術(shù)，集成到應(yīng)用層網(wǎng)關(guān)中，來滿足IPv6的解析、識別以及病毒的檢測分析，實現(xiàn)一種科學、合理的IPv4和IPv6共存的雙棧應(yīng)用場景。（3）性能要求。在IPv6報文結(jié)構(gòu)中，需要有效地處理不同的IPv6協(xié)議頭信息，針對包含多個擴展頭信息的數(shù)據(jù)包需要更加細致謹慎的處理，特別是在出現(xiàn)異常的擴展頭數(shù)據(jù)包之后需要對其提供更高的性能方面的要求。（4）策略要求。對構(gòu)建出的安全防護設(shè)備進行雙棧配置，并且要對不同的邏輯通道進行必要的安全需求分析和控制，換句話說，在對安全策略的把握上需要有一致性的檢查能力。（5）安全網(wǎng)絡(luò)檢測。要求在利用安全檢測工具進行網(wǎng)絡(luò)檢測時，需要首先準確了解實際在用的調(diào)度策略，展開深入的研究并進行進一步的優(yōu)化處理；其次，在使用相關(guān)專項檢測工具時，仍然需要重點對IPv6地址進行相應(yīng)的檢測分析。（6）安全網(wǎng)絡(luò)監(jiān)測。需要做好現(xiàn)階段一些在用的防病毒、惡意軟件等安全問題的處理方式、措施與IPv6之間如何建立一種全面緊密的關(guān)聯(lián)性，進而收集統(tǒng)計各種風險問題，形成一個盡可能全面覆蓋的安全威脅規(guī)則庫，通過分析和總結(jié)，便于在之后的安全排查和隱患處理方面，可以更好更塊的找出有針對性的、科學合理的各類網(wǎng)絡(luò)安全檢測與防護技術(shù)。

3.3 防控安全攻擊措施

當前的IPv6網(wǎng)絡(luò)在使用中存在著安全漏洞，這將極大地影響到整個系統(tǒng)的安全。因此，要根據(jù)網(wǎng)絡(luò)攻擊的不同特征，采取相應(yīng)的預防和控制策略。

（1）加強對網(wǎng)絡(luò)自身的保護，并通過適當?shù)倪吔绫Ｗo技術(shù)對網(wǎng)絡(luò)協(xié)議的安全漏洞進行及時的修復。針對IP地址數(shù)目龐大的特點，提出了一種針對大規(guī)模IP地址的安全攻擊防護策略。同時，IPv6的DNS系統(tǒng)還可以根據(jù)特定的網(wǎng)絡(luò)操作要求加強DNS的安全保護，并對其進行合理的冗余備份和安全攻擊處理，從而保證IPv6網(wǎng)絡(luò)中的新問題和新挑戰(zhàn)。

（2）IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)雙棧的情況下，還需進行防火墻系統(tǒng)和安全攻擊防范設(shè)備的升級處理，按照防火墻具體的性能和位置特點，結(jié)合安全防護設(shè)備的性能和位置，在出口路由器的外部或者出口路由器和內(nèi)部網(wǎng)絡(luò)之間設(shè)置防火墻，這樣在一定程度上能夠預防出現(xiàn)安全攻擊的風險[6]。

（3）部分入侵者會通過網(wǎng)絡(luò)協(xié)議自身的缺陷來攻擊網(wǎng)絡(luò)協(xié)議。為了防止這種攻擊，必須對網(wǎng)絡(luò)協(xié)議的部署、IP地址擴展頭的數(shù)目進行嚴格的控制，以最大限度的減少分組的數(shù)目，并防止這種攻擊[7]。

4 結(jié)語

綜上所述，在新信息基礎(chǔ)設(shè)施建設(shè)中部署IPv6網(wǎng)絡(luò)協(xié)議之后，安全性會得到了極大地提高，但仍需要針對IPv6可能出現(xiàn)的各類安全問題，有針對性的在安全管理、產(chǎn)品、技術(shù)、培訓等方面加強來進行有效防范，用以提升IPv6網(wǎng)絡(luò)的整體安全性和穩(wěn)定性。

引用

[1]高秋燕.基于高校的IPv6網(wǎng)絡(luò)安全研究與實現(xiàn)[J.信息系統(tǒng)工程,2021(2):55-56.

[2]邢帆.高校數(shù)據(jù)與網(wǎng)絡(luò)虛擬化研討——IPv6工作組技術(shù)沙龍北京外國語大學站[J].中國信息化,2017(7):12-13.

[3]孫雅娟,林紅.關(guān)于高校IPv6校園網(wǎng)絡(luò)中ND協(xié)議安全的研究[J].華北電力大學學報(社會科學版),2011(S2):321-324.

[4]徐震,韓言妮.IPv6網(wǎng)絡(luò)的安全風險與應(yīng)對分析[J].華北電力大學學報(社會科學版),2018(7):51-53.

[5]翟昱,買爾旦·肉孜.關(guān)于 IPv6 網(wǎng)絡(luò)帶來的安全風險與應(yīng)對措施[J].數(shù)字通信世界,2021,22(8):153-154.

[6]張思源.基于IPv6的智能家居系統(tǒng)設(shè)計[J].數(shù)字技術(shù)與應(yīng)用,2014(3):134-137.

[7]徐華.IPv6 網(wǎng)絡(luò)的安全風險分析[J].科技風,2019,14(28):248-258.