长亭科技全线产品升级支持IPv6防护服务

IPv6可以提供更广泛的互联网连接,促进物联网和人工智能等新技术应用的发展。这是全球公认的下一代互联网解决方案。在国家政策的大力推动下,各行业IPv6转型如火如荼。长汀科技应用安全塔防御系统全面升级IPv6防御服务,帮助企业应对新兴应用层安全威胁,提升企业安全建设价值。

2019年1月10日,中国人民银行发布了《金融行业实施《推进互联网协议第六版(IPv6)规模部署行动计划》实施意见》,建议到2019年底金融服务机构门户网站支持IPv6链接接入。基于IPv6安全特性,金融业瞄准IPv6网络,构建一个能够有效防范IPv6安全风险、不低于现有IPv4网络同等保护能力的安全保护系统。加快IPv6的规模部署是金融业今年和未来一段时间的关键任务。

在国家和行业政策的大力支持和推动下,截至2019年初,许多大型金融机构和互联网企业正在全力进行IPv6改造和建设。网络运营商也初步开放了公共网络IPv6接入,更多企业即将面临新一轮IPv6转型。与此同时,IPv6转型过程中的安全问题也逐渐浮出水面。

IPv6应用层安全保护的几个关键点

有些人总是错误地认为“如果网络换成IPv6,安全问题将得到彻底解决”。

诚然,IPv4中常见的攻击方法将在IPv6网络中失效,从而抑制来自网络层的一些安全攻击。然而,IPv6的采用并不意味着安全门关闭,来自应用层的威胁将以新的方式出现。企业在大规模部署IPv6时,应该从以下几个方面做好应用层安全保护工作。

1。IPv6应用层安全产品和设备适应性

IPv6网络还需要WAF、漏洞扫描、蜜罐、VPN、入侵检测系统(IDS)、网络过滤等网络安全设备和技术。由于IPv6的一些新特性,这些现有的安全设备在IPv6网络中不能直接使用,需要升级。第二,在从IPv4到IPv6的过渡过程中,IPv6协议栈将占用资源,如IPv4服务的中央处理器和内存,导致现有IPv4服务的会话表容量和吞吐量有不同程度的下降。因此,对现有安全设备和安全系统的处理能力进行综合评估和升级,提高设备和系统的适应程度非常重要。

2。过渡支持技术

由于地址设计,IPv4无法接入IPv6网络,IPv6网络无法顺利实现过渡。为了逐步向IPv6网络演进,有必要选择合适的过渡支持技术,以确保金融、互联网等企业在IPv6转型后能够同时提供对纯IPv4、纯IPv6和IPv4/IPv6共享用户的访问。

3。IPv6时代的流量处理能力(Traffic Processing Capacity

IPv6),互联网流量比上一个时代大幅增加,给应用层流量分析和清洗设备的负载和安全性带来压力。应用层安全产品需要能够在IPv6环境中部署并检测IPv6流量。

4。IPv6的消息解析能力与IPv4的消息结构不同。它引入了多个报头的概念,更改了IPv4消息报头中某些字段的名称和格式,并取消了“报头检查”字段。因此,部署在IPv6环境中的应用安全产品应该能够支持IPv6消息解析。

长汀应用安全塔保护系统完全支持IPv6保护服务

企业需要在改造IPv6基础设施的同时,确保网络中的安全设备和软件能够支持IPv6并进行相应的场景适配。

图:长汀科技应用安全塔保护系统

当安全设备部署在网络环境中时,除了对安全产品本身的IPv6支持外,还需要适当的配置才能发挥实际作用,包括但不限于:

?安全产品本身需要配置DHCPv6和IPv6 DNS

长汀科技应用安全塔防御系统在产品架构和功能上已经升级,现在全面支持IPv6。目前,包括SafeLine下一代网络应用防火墙、D-Sensor内部网威胁感知系统、x光安全评估系统在内的多种产品相继获得IPv6就绪(IPv6 Ready)的官方认证,这表明应用安全塔防御系统中的所有产品在IPv6一致性和互操作性方面都符合IETF IPv6相关的RFC标准,可以进行商业部署。

图:产品IPv6证书

调整和升级以增强企业安全价值

IPv6为大多数没有NAT的用户带来足够的地址空间,为企业安全建设带来巨大价值。

?可追溯性:IPv6协议的“超大地址空间”可以从技术上解决网络实名制和用户身份可追溯性问题,实现准确的网络管理。在IPv6部署过程中,可以利用地址编码技术识别出IP地址类型,地址编码可以准确到区县两级。因此,安全设备可以跟踪客户端的会话,同时,在攻防对抗的场景中,可以方便地跟踪攻击者的来源。

?避免意外伤害:减少作为公共出口(企业内部网、大学内部网、国际数据中心等)的知识产权造成的大面积意外伤害。)阻断攻击源时;

?保护控制:便于实施更精确的频率控制和CC保护规则。

从IPv4到IPv6的过渡不可能一夜之间完成。根据当前IPv6转型的结构部署特点,长汀科技应用安全塔防御系统在部署模式、保护策略、流量处理、消息分析等方面进行了IPv6适配升级:

?采用双协议栈方案,同时支持仅使用IPv4、仅使用IPv6和IPv4/IPv6双协议栈协议的部署模式;

?产品内核升级IPv6流量处理能力;

?检测引擎更新支持IPv6消息解析功能;

?配置了相关的保护策略;

?显示和统计IPv6相关数据。

IPv6不仅是互联网发展的必由之路,也是中国互联网技术及相关应用发展的有利机遇。只有融入世界互联网潮流,在竞争中寻求进步,我们才能真正有利于自己的发展。对于企业来说,IPv6安全建设正是如此。