长亭科技全线产品升级支持IPv6防护服务


IPv6是全球公认的下一代互联网解决方案,可提供更广泛的互联网连接,并促进物联网和人工智能等新技术的开发。在国家政策的大力推动下,各行业的IPv6转型正在全面展开。长汀科技的应用安全塔防系统升级IPv6保护服务,帮助企业应对新兴的应用层安全威胁,提升企业安全建设的价值。

2019年1月10日,中国人民银行发布了关于金融业实施的实施意见《推进互联网协议第六版(IPv6)规模部署行动计划》,提出到2019年底,金融服务机构门户网站将支持IPv6链路接入。基于IPv6安全特性,金融行业构建了一个安全保护系统,可以有效防范IPv6安全风险,并且不低于IPv6网络现有的IPv4网络等效保护功能。加速IPv6规模的部署是这一时期金融业的关键工作。

在国家和产业政策的大力支持和推动下,截至2019年初,许多大型金融机构和互联网公司的IPv6转型正在全面展开。网络运营商最初也开放了公共网络上的IPv6接入,更多企业即将面临新一轮的IPv6转型。与此同时,IPv6转型过程中的安全问题也逐渐浮出水面。

IPv6应用层安全保护的几个关键点

有些人错误地认为“网络已经改为IPv6,安全问题已彻底解决”。

确实,IPv4中的常见攻击方法在IPv6网络中会失败,因此可以抑制来自网络层的一些安全攻击。但是,采用IPv6并不意味着安全门已关闭,应用层的威胁将以新的方式出现。企业在部署IPv6规模时,应从以下几个方面进行应用层安全保护。

1. IPv6应用层安全产品和设备适应性

IPv6网络中还需要网络安全设备和技术,如WAF,漏洞扫描,蜜罐,VPN,IDS(入侵检测系统)和网络过滤。由于IPv6的一些新特性,IPv4网络中现有的安全设备无法直接在IPv6中使用,需要升级和改进。其次,在从IPv4过渡到IPv6的过程中,IPv6协议栈将占用IPv4服务的CPU和内存资源。结果,现有的IPv4服务将在会话表容量和吞吐量方面经历不同程度的下降。因此,重要的是要全面评估和升级现有的安全设备和安全系统处理能力,并提高设备和系统的适应程度。

2.过渡支持技术

由于地址设计原因,IPv4无法访问IPv6网络,IPv6网络无法平滑过渡。为了逐步发展到IPv6网络,必须选择适当的过渡支持技术,以确保金融和互联网等企业在IPv6转型后能够同时提供对仅IPv4,仅IPv6和IPv4/IPv6用户的访问。

3.流量处理能力

在IPv6时代,互联网流量从过去急剧上升,这对应用层流量分析清洁设备的负载和安全性造成了压力。应用层安全产品需要能够在IPv6环境中部署并检测IPv6流量。

4.消息解析能力

IPv6数据包结构与IPv4完全不同。它引入了多个标头的概念,更改了IPv4包头的部分字段名称和格式,并取消了“标题检查”字段。因此,部署在IPv6环境中的应用程序安全产品应具有支持IPv6的数据包解析功能。

长汀应用安全塔防系统全面支持IPv6保护服务

在企业对基础网络体系结构进行IPv6转换的同时,还需要确保网络中的安全设备和安全软件能够支持IPv6并执行相应的场景适配。

图:长汀科技应用安全塔防系统

当安全设备部署在网络环境中时,除了安全产品本身需要支持IPv6之外,还需要正确配置以发挥实际作用。这些配置包括但不限于:

安全产品本身需要配置DHCPv6和IPv6 DNS;

?需要重建原始的基于IP的黑白名单;

需要将原始HTTPS站点修改为IPv6 HTTPS,相关的Web流量处理产品,并且需要加密算法和证书调整;

HTTP层的流量转发需要调整重写的HTTP标头。

长汀科技的应用安全塔防系统得到了IPv6的支持,产品架构和功能升级。它目前包括SafeLine的下一代Web应用防火墙,D-Sensor内部网威胁感知系统和X射线(X-包括Ray的安全评估系统在内的各种产品已经过IPv6 Ready的正式认证,这表明整个系列应用安全塔防系统符合IETF IPv6相关的RFC标准,用于IPv6一致性和互连,可以在商业上部署。

图:产品IPv6证书

适应升级,提升企业安全建设价值

IPv6带来了充足的地址空间,因此大多数用户不需要NAT,这为企业安全构建带来了诸多价值。

跟踪和可追溯性:IPv6协议的“大地址空间”在技术上可以解决网络实名制和用户身份可追溯性问题,实现准确的网络管理。在IPv6部署过程中,地址编码技术可用于识别IP地址类型,地址编码可以精确到区县级。因此,安全设备可以在客户端上进行会话跟踪,在攻击和防御对抗的场景下跟踪攻击者也很方便;

避免意外伤害:当攻击源被阻止时,IP是由公共出口(企业内部网,大学内联网,IDC等)引起的大规模事故;

保护控制:方便更精确的频率控制和CC保护规则。

IPv4到IPv6的过渡不可能在一夜之间实现。针对当前IPv6转型的架构部署特点,长汀科技应用安全塔防系统在部署模式,保护策略,流量处理和数据包解析中实现了IPv6适配升级:/p>

双栈解决方案,支持仅IPv4,仅IPv6和IPv4/IPv6双栈协议部署模式;

?产品内核升级IPv6流量处理功能;

?检测引擎更新支持IPv6数据包解析功能;

?已配置相关保护策略;

显示和统计IPv6相关数据。

IPv6不仅是互联网发展的必然之路,也是中国互联网技术及相关应用发展的有利时机。融入世界互联网的潮流,在竞争中取得进步,确实有利于自身的发展。对于企业来说,IPv6的安全建设是完全一样的。

http://wap.chitsm.com.cn