为您推荐
随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
【媒体发声】准备好了:山石网科推出IPv6多维安全防护体系
通信世界网消息(CWW)问世多年的IPv6在2018年骤然升温,成为全行业关注的热点。中央办公厅、国务院、工信部多次联合发文,加快推动IPv6的部署,运营商、设备商、互联网公司、CDN厂商、云计算公司、终端厂商、安全公司等产业各环节也纷纷采取行动,推动IPv6加快部署。
8月30日,山石网科宣布推出基于IPv6的多维安全防护体系,直面IPv6部署所面临的痛点和挑战,助力IPv6顺利落地。“新的机遇,我们已经准备好了。”山石网科首席技术专家杨庆华表示。
IPv6呼声强烈
互联网地址协议IPv6诞生于1999年,与上一代IPv4相比,IPv6的优势非常突出。例如,IPv4的地址已经枯竭,而IPv6的地址资源非常充沛;IPv4的数据报头复杂且固化,导致转发表急剧膨胀,而IPv6的数据报头简单灵活,可加快对数据包的处理速度,提高转发效率,从而提高网络的整体吞吐量,使信息传输更加快速;此外,IPv6还具有更高的安全性。
业界普遍认为,IPv6的部署意义重大。在IPv4地址消耗殆尽的情况下,IPv6提供了充足的地址空间,尤其是随着物联网、工业互联网等对地址资源需求量大的业务的发展,部署IPv6更是迫在眉睫。同时,IPv6还为解决网络安全问题提供了新的平台。
为此,世界各国纷纷部署IPv6。令人担忧的是,我国在IPv6方面并不领先。在IPv6用户普及率方面,我国仅为0.39%,在全球排名第67位;在用户数方面,我国则排第14位,也并不领先。更令人忧心的是,IPv4时代的13个根服务器中有10个在美国,欧洲2个,日本1个,中国1个也没有,这就意味着我们的互联网服务随时可能被人掐断,因此业界有“中国没有自己的互联网”的声音也并不为过。
因此,加快应用IPv6、积极布局未来网络空间,已经成为我国互联网发展的当务之急。
据悉,在推进IPv6方面,2017年11月26日,中央办公厅、国务院办公厅联合印发《推进互联网协议第六版(IPv6)规模部署行动计划》;2018年5月,工信部发布《关于贯彻落实<推进互联网协议第六版(IPv6)规模部署行动计划>的通知》。政府部门强力推动,形成自上而下的力量,IPv6规模部署曙光初现。
“只见楼梯响、不见人下来”
IPv6诞生已有近20年的时间,“IPv4地址资源枯竭,必须加快部署IPv6”的观点也并不新鲜,那么为何IPv6多年来都是“只见楼梯响、不见人下来”?这其中除了政策和态度之外,还有客观的技术原因。
山石网科产品线资深经理徐涵认为,IPv6网络改造需要解决如下问题:不能降低原有网络质量,需保持原来的网络连通性,对原有的负载均衡、路由协议都需要继续支持;IPv6的报头更长,设备处理报头时能耗也会相应增加,但能耗的增加不能影响网络性能;网络设备需要支持双栈过渡技术,至少在未来的3-5年时间内,IPV4和IPV6将会呈现共存状态,因此需兼容各种网络;此外,IPv6升级后还需要保护用户当年的投资,不能一次性升级所有设备,而是要利用原有设备进行升级,否则网络改造涉及的资金量会特别大。
业界普遍认为,IPv6部署之后,地球上的每个沙子都将获得IPv6地址,这意味着将有大量设备接入互联网,企业对于设备的认证溯源需求也大大增加,这对新的系统能力提出了更高要求。IPv6改造过程中,如何将服务终端所引起的不便降低到最小程度,也是需要考虑的问题。
此外,虽然与IPv4相比,IPv6的安全性大幅提升,但是IPv6的网络安全仍然受到挑战,对于大规模的DDoS攻击,IPv6防御起来更加困难。在IPv6下,安全也是重要环节。
“相对于IPv4的网络环境,IPv6的网络虽然不容易被地址扫描、碎片攻击、广播风暴、DHCP攻击,但是病毒、蠕虫、CC、欺骗、DDoS等攻击依然存在。”徐涵表示。
事实上,针对IPv6的DDoS攻击已经出现。2018年3月,互联网工程师们发现了据称业内第一起基于IPv6的DDoS攻击,他们警告,这仅仅是个开头,下一波网络大破坏即将临近。
基于IPv6的多维安全防护体系
正是在这样的形势下,山石网科推出了基于IPv6的多维安全防护体系。
在网络方面,该体系采用网络出口DNS翻译、负载均衡,保证流量自动做出入站负载均衡;边界设备支持双栈、隧道、地址转换、访问控制等技术,保证各种应用场景下的连通性;虚拟化场景下通过边界安全设备支持双栈部署,分支机构互联则进行隧道连接。
在业务方面,在不影响业务的情况下升级网站系统,网站系统需要在长时间内保障业务双栈运行,双栈流量可视化以便了解系统运行情况。SaaS化的监控平台可以实时监控网络中系统运行情况;本地化的网管系统需要对所有网络设备做统一策略下发和管控大容量的日志存储设备,帮助记录日志以及协助做流量溯源。
在安全防护方面,该体系建立了层层防御的安全理念,做到整网流量的安全、可视、可控。具体措施包括从外到内的边界入侵防护、针对内部网络安全的高级威胁防御,以及服务器自身安全防护,如Web服务器、数据库服务器的威胁防护等,保证安全性,实现整网流量的可视化管理。
总结山石网科基于IPv6的多维安全防护体系的特点,徐涵介绍,在业务改造方面,原IPv4业务系统无需调整不受影响,采用反向代理技术可做应用层的地址转换,整网安全设备可以统一部署,统一日志收集,统一云端监控;在安全改造方面,通过应用识别、日志、监控、统计做到可视,通过完善的状态检测,IPS、AV以及智能网络防御技术、URL过滤、数据库安全防护等做到可控;在网络改造方面,软硬件天然支持双栈网络、隧道技术、IPv6和IPV4的地址转换、基础防火墙功能,包括NAT、VPN、状态检测等,功能和协议支持的一致性保障用户在升级后服务质量不会下降。
“山石网科帮助用户通过最简单的方法把服务器改造为IPv6服务器,最大程度降低网络升级带来的影响并保护用户投资,支持从服务器到云端的网络安全防护,大幅降低升级难度,帮助用户完成业务改造。”徐涵表示。
