近日，工業和信息化部辦公廳、中央網信辦秘書局聯合印發《關于開展“網絡去NAT”專項工作 進一步深化IPv6部署應用》的通知。該通知指出，IPv4到IPv4網絡地址轉換（NAT44）設備在一定程度上阻礙了IPv6規模部署和應用水平的進一步提升，為加快IPv6規模部署和流量提升，需要開展“網絡去NAT”專項工作。在應用方面，通知要求，互聯網企業要深化應用服務IPv6升級改造，優化放量引流策略，實現注冊、登錄、使用全鏈條支持IPv6，提升固網環境下IPv6流量占比。

IPv6時代的來臨為網絡帶來了更高效和透明的運行模式，同時也伴隨著IPv6業務、應用、服務器等網絡資產的安全防護面臨更為嚴峻的挑戰。

“去NAT44”時代，資產暴露面風險增加

以往，NAT44技術在一定程度上掩蓋了設備的真實地址，減少了直接攻擊的可能性。然而，隨著IPv6地址的直接暴露，設備如同置身于“光天化日”之下，雖然提升了網絡效率和透明度，但也顯著增加了被攻擊的風險。攻擊者能更直接地訪問服務器，嘗試各種惡意手段，如DDoS攻擊、SQL注入及跨站腳本攻擊等。此外，許多安全設備雖然具備處理IPv6流量的能力，但卻常因默認僅開啟對IPv4的防護策略，也使得網絡暴露于風險之中。

安全威脅多元化，IPv6面臨新挑戰

地址空間擴大帶來的掃描風險：IPv6巨大的地址空間使得攻擊者更容易進行隨機地址掃描，尋找潛在的攻擊目標。

新協議特性引發的漏洞：IPv6的新協議頭和擴展頭可能存在未知的安全漏洞，容易被攻擊者利用。

自動化配置帶來的安全風險：IPv6支持無狀態和有狀態的地址自動配置方式，這可能被攻擊者利用來實施地址沖突和拒絕服務攻擊。

鄰居發現協議（NDP）的脆弱性：NDP可能面臨欺騙報文攻擊和拒絕服務攻擊，攻擊者可能利用NDP的缺陷來截取數據或發起其他攻擊。

IPv6應用安全防護建議

全面評估IPv6網絡環境：對現有網絡架構進行評估，確保全面支持IPv6，并識別潛在的安全風險點。

部署RayWAF加固安全防線：在關鍵Web應用前部署RayWAF，作為防御第一線，抵御外部攻擊。

制定IPv6安全策略：根據業務需求，制定IPv6環境下的安全策略，包括精細化的訪問控制和數據加密措施等。

強化網絡安全監控：利用RayWAF的監控功能，實時監測IPv6流量，及時發現漏洞并進行響應，確保Web應用的安全性。

定期安全審計與培訓：定期對網絡安全進行審計，及時安裝系統更新和安全補丁，加強員工的安全意識培訓，提高整體安全防護能力。

RayWAF在IPv6應用安全防護中的作用

全面兼容IPv6：無縫接入IPv6網絡環境，為IPv6網絡下的Web應用提供同等級別的安全防護。目前，盛邦安全全線產品均可無縫對接IPv6網絡環境，為客戶提供安全可靠的解決方案。

精細訪問控制：基于IPv6地址的精細化訪問控制策略，有效限制惡意訪問和數據泄露風險。

智能威脅識別：利用大數據分析、機器學習和人工智能技術，智能識別和防御新型Web攻擊和未知威脅。

高效性能保障：優化的數據處理流程，確保在處理IPv6流量時保持高性能，不影響用戶體驗。

全面日志審計：詳盡記錄IPv6環境下的訪問和攻擊日志，有助于事后分析和溯源。

2024年4月，中央網信辦、國家發展改革委、工業和信息化部聯合印發《深入推進IPv6規模部署和應用2024年工作安排》，旨在全面推進IPv6技術創新與融合應用，為建設網絡強國、數字中國提供有力支撐。此次兩部門聯合開展“網絡去NAT”專項工作，再次加速了我國IPv6演進升級的步伐。在此過程中，我們應高度重視IPv6應用安全防護工作，在提升IPv6連通率與流量占比的同時，保障網絡安全穩定運行，才能更好地釋放IPv6的價值，使其發揮更大的賦能效應，共建一個安全、可信、高效、全面互聯的數字世界。