发布日期:2024/07/16
近日,工業和信息化部辦公廳、中央網信辦秘書局聯合印發《關于開展“網絡去NAT”專項工作 進一步深化IPv6部署應用》的通知。該通知指出,IPv4到IPv4網絡地址轉換(NAT44)設備在一定程度上阻礙了IPv6規模部署和應用水平的進一步提升,為加快IPv6規模部署和流量提升,需要開展“網絡去NAT”專項工作。在應用方面,通知要求,互聯網企業要深化應用服務IPv6升級改造,優化放量引流策略,實現注冊、登錄、使用全鏈條支持IPv6,提升固網環境下IPv6流量占比。
IPv6時代的來臨為網絡帶來了更高效和透明的運行模式,同時也伴隨著IPv6業務、應用、服務器等網絡資產的安全防護面臨更為嚴峻的挑戰。
“去NAT44”時代,資產暴露面風險增加
以往,NAT44技術在一定程度上掩蓋了設備的真實地址,減少了直接攻擊的可能性。然而,隨著IPv6地址的直接暴露,設備如同置身于“光天化日”之下,雖然提升了網絡效率和透明度,但也顯著增加了被攻擊的風險。攻擊者能更直接地訪問服務器,嘗試各種惡意手段,如DDoS攻擊、SQL注入及跨站腳本攻擊等。此外,許多安全設備雖然具備處理IPv6流量的能力,但卻常因默認僅開啟對IPv4的防護策略,也使得網絡暴露于風險之中。
安全威脅多元化,IPv6面臨新挑戰
地址空間擴大帶來的掃描風險:IPv6巨大的地址空間使得攻擊者更容易進行隨機地址掃描,尋找潛在的攻擊目標。
新協議特性引發的漏洞:IPv6的新協議頭和擴展頭可能存在未知的安全漏洞,容易被攻擊者利用。
自動化配置帶來的安全風險:IPv6支持無狀態和有狀態的地址自動配置方式,這可能被攻擊者利用來實施地址沖突和拒絕服務攻擊。
鄰居發現協議(NDP)的脆弱性:NDP可能面臨欺騙報文攻擊和拒絕服務攻擊,攻擊者可能利用NDP的缺陷來截取數據或發起其他攻擊。
IPv6應用安全防護建議
全面評估IPv6網絡環境:對現有網絡架構進行評估,確保全面支持IPv6,并識別潛在的安全風險點。
部署RayWAF加固安全防線:在關鍵Web應用前部署RayWAF,作為防御第一線,抵御外部攻擊。
制定IPv6安全策略:根據業務需求,制定IPv6環境下的安全策略,包括精細化的訪問控制和數據加密措施等。
強化網絡安全監控:利用RayWAF的監控功能,實時監測IPv6流量,及時發現漏洞并進行響應,確保Web應用的安全性。
定期安全審計與培訓:定期對網絡安全進行審計,及時安裝系統更新和安全補丁,加強員工的安全意識培訓,提高整體安全防護能力。
RayWAF在IPv6應用安全防護中的作用
全面兼容IPv6:無縫接入IPv6網絡環境,為IPv6網絡下的Web應用提供同等級別的安全防護。目前,盛邦安全全線產品均可無縫對接IPv6網絡環境,為客戶提供安全可靠的解決方案。
精細訪問控制:基于IPv6地址的精細化訪問控制策略,有效限制惡意訪問和數據泄露風險。
智能威脅識別:利用大數據分析、機器學習和人工智能技術,智能識別和防御新型Web攻擊和未知威脅。
高效性能保障:優化的數據處理流程,確保在處理IPv6流量時保持高性能,不影響用戶體驗。
全面日志審計:詳盡記錄IPv6環境下的訪問和攻擊日志,有助于事后分析和溯源。
2024年4月,中央網信辦、國家發展改革委、工業和信息化部聯合印發《深入推進IPv6規模部署和應用2024年工作安排》,旨在全面推進IPv6技術創新與融合應用,為建設網絡強國、數字中國提供有力支撐。此次兩部門聯合開展“網絡去NAT”專項工作,再次加速了我國IPv6演進升級的步伐。在此過程中,我們應高度重視IPv6應用安全防護工作,在提升IPv6連通率與流量占比的同時,保障網絡安全穩定運行,才能更好地釋放IPv6的價值,使其發揮更大的賦能效應,共建一個安全、可信、高效、全面互聯的數字世界。