雷鋒網(wǎng)編者按：隨著5G、IoT、云計算技術(shù)的不斷成熟，萬物互聯(lián)時代即將到來，隨之而來的是海量的終端設備接入需求，目前IPv4地址空間已不足以支撐未來發(fā)展要求，由于IPv4地址的枯竭，其交易價格也在不斷攀升，各相關(guān)企業(yè)也有實際的IPv6升級需求。

從政策方面來看，自去年11月國務院頒布針對互聯(lián)網(wǎng)協(xié)議第六版（Internet Protocol Version 6，下稱“IPv6”）的規(guī)模部署行動計劃以來，如何圍繞IPv6升級安全系統(tǒng)也成為各行業(yè)熱議的話題。9月6日，在2018 ISC互聯(lián)網(wǎng)安全大會上，阿里安全獵戶座實驗室高級專家東帆帶來了《Pv6規(guī)?；渴鹣禄ヂ?lián)網(wǎng)企業(yè)IPv6安全升級與實踐》的演講，分享了阿里巴巴針對IPv6的改造及安全解決方案。

以下演講來自阿里安全獵戶座實驗室高級專家東帆，雷鋒網(wǎng)編輯。

當前運營商、網(wǎng)絡設備廠商、移動終端設備商、CDN廠商、互聯(lián)網(wǎng)企業(yè)以及網(wǎng)絡安全廠商等IPv6規(guī)?；渴鹁凑招袆佑媱澮蟠罅ν七M中，加速構(gòu)建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網(wǎng)。

按照部署計劃，到2018年末，IPv6活躍用戶數(shù)達到2億，在互聯(lián)網(wǎng)用戶中的占比不低于20%，到2020年末，IPv6活躍用戶數(shù)超過5億，在互聯(lián)網(wǎng)用戶中的占比超過50%，新增網(wǎng)絡地址不再使用私有IPv4地址，到2025年末，我國IPv6網(wǎng)絡規(guī)模、用戶規(guī)模、流量規(guī)模位居世界第一位。

我國整個網(wǎng)絡環(huán)境將隨網(wǎng)絡、應用、終端全面支持IPv6以及IPv6網(wǎng)絡規(guī)模、用戶規(guī)模、流量規(guī)模的增長發(fā)生翻天覆地的變化, 新的網(wǎng)絡環(huán)境以及新興領(lǐng)域?qū)⑼瑫r面臨新的安全挑戰(zhàn)。

當前IPv6規(guī)?；渴饘嶋H推行過程中面臨眾多問題與挑戰(zhàn)，如網(wǎng)絡設備升級、IPv6路由管理分配、IPv6編址規(guī)范及分配、雙棧、過渡技術(shù)、應用與業(yè)務兼容適配等，與此同時IPv6安全解決方案及產(chǎn)品升級也遇到極大的挑戰(zhàn)，而且IPv6規(guī)?；渴鹋c安全升級互相促進互相影響。

前文《下一代互聯(lián)通信網(wǎng)絡部署在即，IPv6安全防護準備好了嗎》，已從IPv6協(xié)議安全威脅結(jié)合互聯(lián)網(wǎng)網(wǎng)絡安全運營視角介紹了面臨的新的安全威脅及加固建議，本文重點從互聯(lián)網(wǎng)企業(yè)IPv6規(guī)?；渴饘嶋H推行過程中面臨的問題、安全影響及IPv6安全方案視角進行分析，同時介紹互聯(lián)網(wǎng)企業(yè)IPv6網(wǎng)絡安全升級的相關(guān)實踐。

互聯(lián)網(wǎng)企業(yè)IPv6規(guī)模部署改造升級

IPv6改造涉及應用、云、管、端等整體改造，涵蓋運營商、網(wǎng)絡設備廠商、移動終端設備商、CDN廠商、互聯(lián)網(wǎng)企業(yè)以及網(wǎng)絡安全廠商等，IPv6是網(wǎng)絡，是IT infrastructure,更是整個生態(tài)能力的提升。

互聯(lián)網(wǎng)企業(yè)IPv6規(guī)模部署改造升級主要涉及網(wǎng)絡設備、IPv6協(xié)議棧（含DNS/BGP/OSPF等協(xié)議棧）、網(wǎng)絡管理（含海量自動化、監(jiān)控工具開發(fā)等）、L4-L7網(wǎng)關(guān)（SLB/WAF/FW/LVS等）、IPv6地址/路由管理等、互聯(lián)網(wǎng)質(zhì)量監(jiān)控和流量調(diào)度、全球質(zhì)量探測系統(tǒng)、安全產(chǎn)品及防護（DDoS防護、流量清洗、網(wǎng)絡隔離監(jiān)控、業(yè)務風控等）等。

自2012年全球IPv6網(wǎng)絡正式啟動以來，阿里巴巴就已開始著手IPv6的網(wǎng)絡研發(fā)的設備選型及升級路線改造，阿里云已是目前國內(nèi)唯一一家全面提供IPv6服務的云廠商。

阿里巴巴 IPv4 到 IPv6 的演進以及 IPv6 規(guī)?；糠指脑熳裱韧獠亢髢?nèi)部，以雙棧技術(shù)為過渡的原則。

截止目前阿里云現(xiàn)已上線發(fā)布SLB、IPv6轉(zhuǎn)換服務、云解析DNS、CDN、OSS、RDS六款產(chǎn)品，按照國家IPv6行動計劃和統(tǒng)籌安排，阿里巴巴正在大力推進IPv6改造升級，2018年底前TOP50互聯(lián)網(wǎng)企業(yè)應用（淘寶、天貓等）改造完成，可具備IPv6訪問能力，同時阿里云產(chǎn)品會為客戶提供端到端的IPv6解決方案，完成IPv4和IPv6雙棧改造，50%云產(chǎn)品支持IPv6，包括VPC，ECS等。 

阿里安全在阿里巴巴IPv6升級改造過程中基于新一代網(wǎng)絡架構(gòu)演進、協(xié)議棧變化、中間件、應用及業(yè)務等升級改造提前識別新的安全威脅、攻擊面及影響，結(jié)合互聯(lián)網(wǎng)業(yè)務改造節(jié)奏確定IPv6安全解決方案，升級整體IPv6安全檢測能力及安全產(chǎn)品，支撐各產(chǎn)品為客戶提供安全可靠的服務。

企業(yè)IPv6規(guī)模部署下的八大安全挑戰(zhàn)

1、 IPv6協(xié)議棧安全

新的協(xié)議棧開始規(guī)?；渴?，會帶來新的攻擊方式和攻擊面，例如分片攻擊、擴展頭攻擊、NDP攻擊等，需要提前做好服務器以及網(wǎng)絡設備等協(xié)議棧安全配置及加固，可以參考《下一代互聯(lián)通信網(wǎng)絡部署在即，IPv6安全防護準備好了嗎》。

2、 IPv6安全檢測及掃描

IPv6 128位地址空間解決了網(wǎng)絡地址資源數(shù)量的問題，也為物聯(lián)網(wǎng)的發(fā)展提供了基礎，同時地址空間變大使得攻擊方實施IPv6掃描非常困難，但對于安全防護人員進行網(wǎng)絡安全檢測掃描也帶來了新的挑戰(zhàn)。

3、 IPv6 DNS安全

IPv6網(wǎng)絡掃描困難難以實施的情況下攻擊方可能會尋找新的攻擊方式，公共節(jié)點例如DNS等可能會成為優(yōu)先的攻擊目標，需要提前考慮應對。

4、 IPv6 DDoS防護及黑洞

DDoS防護涉及用戶IPv6編址規(guī)范、運營商IPv6黑洞路由支持以及互聯(lián)網(wǎng)企業(yè)安全產(chǎn)品改造并對接，需要多部門及各廠商共同改造并協(xié)同配合，挑戰(zhàn)很大。

5、 IPv6 業(yè)務風控

IPv6地址是業(yè)務風控策略中關(guān)鍵的一環(huán)，如何更快更智能化地升級安全防控能力，并精確快速區(qū)分惡意用戶及精確溯源，涉及網(wǎng)絡、業(yè)務、應用等，需要更全面更系統(tǒng)地梳理應對。

6、 IPv6 安全產(chǎn)品改造

安全產(chǎn)品（WAF/FW/IDS/IPS等）IPv6升級后與IPv6地址相關(guān)的策略及邏輯均要改造涉及，涉及面大，改造成本高。

7、 IPv6 網(wǎng)絡安全

IPv6地址空間大，需要做好規(guī)劃及地址分配策略，同時網(wǎng)絡訪問控制及隔離、掃描都要配套升級。

8、 IPv6過渡技術(shù)安全

IPv6各種過渡技術(shù)（例如隧道技術(shù)、翻譯技術(shù)、IPv6/IPv4雙棧技術(shù)等）安全控制措施默認情況下并不完善，需要結(jié)合認證、加密、完整性、訪問控制等其他方案綜合控制風險。

互聯(lián)網(wǎng)企業(yè)IPv6安全升級及實踐

從互聯(lián)網(wǎng)企業(yè)安全架構(gòu)來看，IPv6安全升級主要改造在系統(tǒng)層、網(wǎng)絡層、存儲層、應用業(yè)務層以及安全管理。

系統(tǒng)層：主要涉及端（PC、移動端以及IoT等）、服務器、網(wǎng)絡設備相關(guān)系統(tǒng)改造，安全升級主要包括：IPv6協(xié)議棧安全配置加固、IPv6服務端口最小化開放、安全補丁、IPv6協(xié)議掃描及漏洞檢測等。

網(wǎng)絡層：安全升級主要包括網(wǎng)絡設備IPv6安全配置加固、IPv6網(wǎng)絡地址/路由規(guī)劃、IPv6訪問控制及隔離、IPv6網(wǎng)絡路由安全策略、IPv6黑洞路由防DDoS、DNS/SLB/LVS/FW/IDS IPv6、定向IPv6網(wǎng)絡掃描等。

存儲層：安全升級主要包括IPv6地址庫數(shù)據(jù)、黑灰產(chǎn)惡意IPv6數(shù)據(jù)、規(guī)則算法模型等。

應用業(yè)務層：安全升級主要包括應用漏洞掃描、WAF、CC防御、反爬蟲、反欺詐/作弊及其他業(yè)務風控策略等升級改造，特別是基于IP的訪問控制、基于IP的地址位置、基于IP的關(guān)系網(wǎng)等方面。

安全管理：安全升級主要包括IPv6相關(guān)的認證、鑒權(quán)、審計以及SIEM安全信息和事件管理。

另外，互聯(lián)網(wǎng)企業(yè)IPv6規(guī)模部署和安全升級過程中，涉及到“云、管、端”，除了移動終端等廠商外，運營商是非常重要的，云和端的設備占到中國網(wǎng)民99%以上的規(guī)模，像中國聯(lián)通、中國移動、中國電信以及教育網(wǎng)也是IPv6推動里面最強的一股力量，也是最核心的一部分，特別是用戶IPv6地址編址及分配規(guī)范、精確溯源以及防DDoS等方面，在IPv6安全升級落地終端、運營商以及互聯(lián)網(wǎng)企業(yè)IPv6安全需要統(tǒng)籌同步建設，各方協(xié)同配合才能更好地共建更安全更高效的新一代IPv6網(wǎng)絡。

 互聯(lián)網(wǎng)IPv6安全未來展望

隨著新一代互聯(lián)網(wǎng)絡的規(guī)模化部署和發(fā)展，IPv6網(wǎng)絡規(guī)模、用戶規(guī)模、流量規(guī)?？焖僭鲩L，對于互聯(lián)網(wǎng)IPv6安全未來發(fā)展有幾點自己的看法，希望對大家做好IPv6安全防護有所幫助。

1、建立自主可控完備高效的IPv6安全防護網(wǎng)絡需要從標準、應用、端、管、云及各行各業(yè)的共同努力，特別是IPv6編址、精確溯源等方面需要政府主導規(guī)范、行業(yè)間共建共享。

2、IPv6協(xié)議棧穩(wěn)定會有一個過程，隨著支持IPv6應用逐步上線，用戶流量上一定規(guī)模，會有新一輪新形式的IPv6攻防對抗，特別是在業(yè)務風控、防DDoS、IPv6協(xié)議漏洞挖掘等方面。

3、IPv6隨著政策牽引以及5G、IoT、云計算等對于IP地址需求大的業(yè)務不斷成熟，會迎來一個快速發(fā)展期， IPv6安全產(chǎn)品及檢測防護升級需要重點投入并提前READY，確保新一代IPv6網(wǎng)絡安全風險可控。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。