雷鋒網(wǎng)編者按：隨著5G、IoT、云計(jì)算技術(shù)的不斷成熟，萬物互聯(lián)時(shí)代即將到來，隨之而來的是海量的終端設(shè)備接入需求，目前IPv4地址空間已不足以支撐未來發(fā)展要求，由于IPv4地址的枯竭，其交易價(jià)格也在不斷攀升，各相關(guān)企業(yè)也有實(shí)際的IPv6升級(jí)需求。

從政策方面來看，自去年11月國(guó)務(wù)院頒布針對(duì)互聯(lián)網(wǎng)協(xié)議第六版（Internet Protocol Version 6，下稱“IPv6”）的規(guī)模部署行動(dòng)計(jì)劃以來，如何圍繞IPv6升級(jí)安全系統(tǒng)也成為各行業(yè)熱議的話題。9月6日，在2018 ISC互聯(lián)網(wǎng)安全大會(huì)上，阿里安全獵戶座實(shí)驗(yàn)室高級(jí)專家東帆帶來了《Pv6規(guī)?；渴鹣禄ヂ?lián)網(wǎng)企業(yè)IPv6安全升級(jí)與實(shí)踐》的演講，分享了阿里巴巴針對(duì)IPv6的改造及安全解決方案。

以下演講來自阿里安全獵戶座實(shí)驗(yàn)室高級(jí)專家東帆，雷鋒網(wǎng)編輯。

當(dāng)前運(yùn)營(yíng)商、網(wǎng)絡(luò)設(shè)備廠商、移動(dòng)終端設(shè)備商、CDN廠商、互聯(lián)網(wǎng)企業(yè)以及網(wǎng)絡(luò)安全廠商等IPv6規(guī)模化部署均按照行動(dòng)計(jì)劃要求大力推進(jìn)中，加速構(gòu)建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網(wǎng)。

按照部署計(jì)劃，到2018年末，IPv6活躍用戶數(shù)達(dá)到2億，在互聯(lián)網(wǎng)用戶中的占比不低于20%，到2020年末，IPv6活躍用戶數(shù)超過5億，在互聯(lián)網(wǎng)用戶中的占比超過50%，新增網(wǎng)絡(luò)地址不再使用私有IPv4地址，到2025年末，我國(guó)IPv6網(wǎng)絡(luò)規(guī)模、用戶規(guī)模、流量規(guī)模位居世界第一位。

我國(guó)整個(gè)網(wǎng)絡(luò)環(huán)境將隨網(wǎng)絡(luò)、應(yīng)用、終端全面支持IPv6以及IPv6網(wǎng)絡(luò)規(guī)模、用戶規(guī)模、流量規(guī)模的增長(zhǎng)發(fā)生翻天覆地的變化, 新的網(wǎng)絡(luò)環(huán)境以及新興領(lǐng)域?qū)⑼瑫r(shí)面臨新的安全挑戰(zhàn)。

當(dāng)前IPv6規(guī)模化部署實(shí)際推行過程中面臨眾多問題與挑戰(zhàn)，如網(wǎng)絡(luò)設(shè)備升級(jí)、IPv6路由管理分配、IPv6編址規(guī)范及分配、雙棧、過渡技術(shù)、應(yīng)用與業(yè)務(wù)兼容適配等，與此同時(shí)IPv6安全解決方案及產(chǎn)品升級(jí)也遇到極大的挑戰(zhàn)，而且IPv6規(guī)?；渴鹋c安全升級(jí)互相促進(jìn)互相影響。

前文《下一代互聯(lián)通信網(wǎng)絡(luò)部署在即，IPv6安全防護(hù)準(zhǔn)備好了嗎》，已從IPv6協(xié)議安全威脅結(jié)合互聯(lián)網(wǎng)網(wǎng)絡(luò)安全運(yùn)營(yíng)視角介紹了面臨的新的安全威脅及加固建議，本文重點(diǎn)從互聯(lián)網(wǎng)企業(yè)IPv6規(guī)模化部署實(shí)際推行過程中面臨的問題、安全影響及IPv6安全方案視角進(jìn)行分析，同時(shí)介紹互聯(lián)網(wǎng)企業(yè)IPv6網(wǎng)絡(luò)安全升級(jí)的相關(guān)實(shí)踐。

互聯(lián)網(wǎng)企業(yè)IPv6規(guī)模部署改造升級(jí)

IPv6改造涉及應(yīng)用、云、管、端等整體改造，涵蓋運(yùn)營(yíng)商、網(wǎng)絡(luò)設(shè)備廠商、移動(dòng)終端設(shè)備商、CDN廠商、互聯(lián)網(wǎng)企業(yè)以及網(wǎng)絡(luò)安全廠商等，IPv6是網(wǎng)絡(luò)，是IT infrastructure,更是整個(gè)生態(tài)能力的提升。

互聯(lián)網(wǎng)企業(yè)IPv6規(guī)模部署改造升級(jí)主要涉及網(wǎng)絡(luò)設(shè)備、IPv6協(xié)議棧（含DNS/BGP/OSPF等協(xié)議棧）、網(wǎng)絡(luò)管理（含海量自動(dòng)化、監(jiān)控工具開發(fā)等）、L4-L7網(wǎng)關(guān)（SLB/WAF/FW/LVS等）、IPv6地址/路由管理等、互聯(lián)網(wǎng)質(zhì)量監(jiān)控和流量調(diào)度、全球質(zhì)量探測(cè)系統(tǒng)、安全產(chǎn)品及防護(hù)（DDoS防護(hù)、流量清洗、網(wǎng)絡(luò)隔離監(jiān)控、業(yè)務(wù)風(fēng)控等）等。

自2012年全球IPv6網(wǎng)絡(luò)正式啟動(dòng)以來，阿里巴巴就已開始著手IPv6的網(wǎng)絡(luò)研發(fā)的設(shè)備選型及升級(jí)路線改造，阿里云已是目前國(guó)內(nèi)唯一一家全面提供IPv6服務(wù)的云廠商。

阿里巴巴 IPv4 到 IPv6 的演進(jìn)以及 IPv6 規(guī)模化部分改造遵循先外部后內(nèi)部，以雙棧技術(shù)為過渡的原則。

截止目前阿里云現(xiàn)已上線發(fā)布SLB、IPv6轉(zhuǎn)換服務(wù)、云解析DNS、CDN、OSS、RDS六款產(chǎn)品，按照國(guó)家IPv6行動(dòng)計(jì)劃和統(tǒng)籌安排，阿里巴巴正在大力推進(jìn)IPv6改造升級(jí)，2018年底前TOP50互聯(lián)網(wǎng)企業(yè)應(yīng)用（淘寶、天貓等）改造完成，可具備IPv6訪問能力，同時(shí)阿里云產(chǎn)品會(huì)為客戶提供端到端的IPv6解決方案，完成IPv4和IPv6雙棧改造，50%云產(chǎn)品支持IPv6，包括VPC，ECS等。 

阿里安全在阿里巴巴IPv6升級(jí)改造過程中基于新一代網(wǎng)絡(luò)架構(gòu)演進(jìn)、協(xié)議棧變化、中間件、應(yīng)用及業(yè)務(wù)等升級(jí)改造提前識(shí)別新的安全威脅、攻擊面及影響，結(jié)合互聯(lián)網(wǎng)業(yè)務(wù)改造節(jié)奏確定IPv6安全解決方案，升級(jí)整體IPv6安全檢測(cè)能力及安全產(chǎn)品，支撐各產(chǎn)品為客戶提供安全可靠的服務(wù)。

企業(yè)IPv6規(guī)模部署下的八大安全挑戰(zhàn)

1、 IPv6協(xié)議棧安全

新的協(xié)議棧開始規(guī)?；渴?，會(huì)帶來新的攻擊方式和攻擊面，例如分片攻擊、擴(kuò)展頭攻擊、NDP攻擊等，需要提前做好服務(wù)器以及網(wǎng)絡(luò)設(shè)備等協(xié)議棧安全配置及加固，可以參考《下一代互聯(lián)通信網(wǎng)絡(luò)部署在即，IPv6安全防護(hù)準(zhǔn)備好了嗎》。

2、 IPv6安全檢測(cè)及掃描

IPv6 128位地址空間解決了網(wǎng)絡(luò)地址資源數(shù)量的問題，也為物聯(lián)網(wǎng)的發(fā)展提供了基礎(chǔ)，同時(shí)地址空間變大使得攻擊方實(shí)施IPv6掃描非常困難，但對(duì)于安全防護(hù)人員進(jìn)行網(wǎng)絡(luò)安全檢測(cè)掃描也帶來了新的挑戰(zhàn)。

3、 IPv6 DNS安全

IPv6網(wǎng)絡(luò)掃描困難難以實(shí)施的情況下攻擊方可能會(huì)尋找新的攻擊方式，公共節(jié)點(diǎn)例如DNS等可能會(huì)成為優(yōu)先的攻擊目標(biāo)，需要提前考慮應(yīng)對(duì)。

4、 IPv6 DDoS防護(hù)及黑洞

DDoS防護(hù)涉及用戶IPv6編址規(guī)范、運(yùn)營(yíng)商IPv6黑洞路由支持以及互聯(lián)網(wǎng)企業(yè)安全產(chǎn)品改造并對(duì)接，需要多部門及各廠商共同改造并協(xié)同配合，挑戰(zhàn)很大。

5、 IPv6 業(yè)務(wù)風(fēng)控

IPv6地址是業(yè)務(wù)風(fēng)控策略中關(guān)鍵的一環(huán)，如何更快更智能化地升級(jí)安全防控能力，并精確快速區(qū)分惡意用戶及精確溯源，涉及網(wǎng)絡(luò)、業(yè)務(wù)、應(yīng)用等，需要更全面更系統(tǒng)地梳理應(yīng)對(duì)。

6、 IPv6 安全產(chǎn)品改造

安全產(chǎn)品（WAF/FW/IDS/IPS等）IPv6升級(jí)后與IPv6地址相關(guān)的策略及邏輯均要改造涉及，涉及面大，改造成本高。

7、 IPv6 網(wǎng)絡(luò)安全

IPv6地址空間大，需要做好規(guī)劃及地址分配策略，同時(shí)網(wǎng)絡(luò)訪問控制及隔離、掃描都要配套升級(jí)。

8、 IPv6過渡技術(shù)安全

IPv6各種過渡技術(shù)（例如隧道技術(shù)、翻譯技術(shù)、IPv6/IPv4雙棧技術(shù)等）安全控制措施默認(rèn)情況下并不完善，需要結(jié)合認(rèn)證、加密、完整性、訪問控制等其他方案綜合控制風(fēng)險(xiǎn)。

互聯(lián)網(wǎng)企業(yè)IPv6安全升級(jí)及實(shí)踐

從互聯(lián)網(wǎng)企業(yè)安全架構(gòu)來看，IPv6安全升級(jí)主要改造在系統(tǒng)層、網(wǎng)絡(luò)層、存儲(chǔ)層、應(yīng)用業(yè)務(wù)層以及安全管理。

系統(tǒng)層：主要涉及端（PC、移動(dòng)端以及IoT等）、服務(wù)器、網(wǎng)絡(luò)設(shè)備相關(guān)系統(tǒng)改造，安全升級(jí)主要包括：IPv6協(xié)議棧安全配置加固、IPv6服務(wù)端口最小化開放、安全補(bǔ)丁、IPv6協(xié)議掃描及漏洞檢測(cè)等。

網(wǎng)絡(luò)層：安全升級(jí)主要包括網(wǎng)絡(luò)設(shè)備IPv6安全配置加固、IPv6網(wǎng)絡(luò)地址/路由規(guī)劃、IPv6訪問控制及隔離、IPv6網(wǎng)絡(luò)路由安全策略、IPv6黑洞路由防DDoS、DNS/SLB/LVS/FW/IDS IPv6、定向IPv6網(wǎng)絡(luò)掃描等。

存儲(chǔ)層：安全升級(jí)主要包括IPv6地址庫(kù)數(shù)據(jù)、黑灰產(chǎn)惡意IPv6數(shù)據(jù)、規(guī)則算法模型等。

應(yīng)用業(yè)務(wù)層：安全升級(jí)主要包括應(yīng)用漏洞掃描、WAF、CC防御、反爬蟲、反欺詐/作弊及其他業(yè)務(wù)風(fēng)控策略等升級(jí)改造，特別是基于IP的訪問控制、基于IP的地址位置、基于IP的關(guān)系網(wǎng)等方面。

安全管理：安全升級(jí)主要包括IPv6相關(guān)的認(rèn)證、鑒權(quán)、審計(jì)以及SIEM安全信息和事件管理。

另外，互聯(lián)網(wǎng)企業(yè)IPv6規(guī)模部署和安全升級(jí)過程中，涉及到“云、管、端”，除了移動(dòng)終端等廠商外，運(yùn)營(yíng)商是非常重要的，云和端的設(shè)備占到中國(guó)網(wǎng)民99%以上的規(guī)模，像中國(guó)聯(lián)通、中國(guó)移動(dòng)、中國(guó)電信以及教育網(wǎng)也是IPv6推動(dòng)里面最強(qiáng)的一股力量，也是最核心的一部分，特別是用戶IPv6地址編址及分配規(guī)范、精確溯源以及防DDoS等方面，在IPv6安全升級(jí)落地終端、運(yùn)營(yíng)商以及互聯(lián)網(wǎng)企業(yè)IPv6安全需要統(tǒng)籌同步建設(shè)，各方協(xié)同配合才能更好地共建更安全更高效的新一代IPv6網(wǎng)絡(luò)。

 互聯(lián)網(wǎng)IPv6安全未來展望

隨著新一代互聯(lián)網(wǎng)絡(luò)的規(guī)?；渴鸷桶l(fā)展，IPv6網(wǎng)絡(luò)規(guī)模、用戶規(guī)模、流量規(guī)?？焖僭鲩L(zhǎng)，對(duì)于互聯(lián)網(wǎng)IPv6安全未來發(fā)展有幾點(diǎn)自己的看法，希望對(duì)大家做好IPv6安全防護(hù)有所幫助。

1、建立自主可控完備高效的IPv6安全防護(hù)網(wǎng)絡(luò)需要從標(biāo)準(zhǔn)、應(yīng)用、端、管、云及各行各業(yè)的共同努力，特別是IPv6編址、精確溯源等方面需要政府主導(dǎo)規(guī)范、行業(yè)間共建共享。

2、IPv6協(xié)議棧穩(wěn)定會(huì)有一個(gè)過程，隨著支持IPv6應(yīng)用逐步上線，用戶流量上一定規(guī)模，會(huì)有新一輪新形式的IPv6攻防對(duì)抗，特別是在業(yè)務(wù)風(fēng)控、防DDoS、IPv6協(xié)議漏洞挖掘等方面。

3、IPv6隨著政策牽引以及5G、IoT、云計(jì)算等對(duì)于IP地址需求大的業(yè)務(wù)不斷成熟，會(huì)迎來一個(gè)快速發(fā)展期， IPv6安全產(chǎn)品及檢測(cè)防護(hù)升級(jí)需要重點(diǎn)投入并提前READY，確保新一代IPv6網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可控。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。