IPv6 新形势下的安全解决方案

2017 年底，国务院办公厅印发《推进互联网协议第六版（IPv6）规模部署行动计划》，要求加快 IPv6 规模部署，在此形势下，网络架构、运维、安全等方面都遇到新的挑战。应用交付网络厂商 F5 中国总经理张毅强、CTO 吴静涛等分享了他们对新形势的判断和解决方案。

F5 是一家提供应用交付网络服务的厂商，其产品聚焦于负载均衡、安全、应用加速等方面，包括 BIG-IP LTM 等硬件产品，面向客户包括政府、金融、互联网等对安全性和稳定性要求高的行业。

目前，互联网技术面临着更新换代，网络技术也在发生巨大的变化，体现在：

• 即将到来的 5G 的高带宽、高并发，导致开发者需要考虑硬件 + 软件，DC+ 云服务的融合，并采用多云服务，多云调度的高可用架构；
• 随着 IPv6 的演进，在 IPv4 和 IPv6 融合的安全架构会是一个新的挑战，网络安全攻击的多样化，在防御侧需要进行架构升级以进行应对；
• SSL everywhere 和不同应用灰度需要不同的防护，开发者需要开始考虑 SSL 的系统编排。

IPv6 相对于 IPv4 在安全方面的挑战，首当其冲是来自终端的改变，IPv4 时代的终端大多数为个人计算机 / 智能设备，在 IPv6 时代，终端将扩展到物联网，如智能家居、汽车、各种传感器等。在以前我们只需要判断终端是人还是机器，现在我们要判断终端是“好”机器还是“坏”机器。

吴静涛表示：“IPv4 的安全架构在 IPv6 环境和混合环境中需要提升，把网络、系统、运维、测试、研发整合在一起，通过产品 + 服务的方式把大数据采集、机器学习、智能极限、根因分析通过一键配置变更来实现分钟这个年纪的攻防转换。”

而从整体上，互联网安全形势越趋严峻，过去黑客不敢攻击的政府、央企、金融等行业成为黑客的目标。如 2016 年起，疑似“Anonymous”的黑客组织账号在推特上宣称要发动代号为“Oplcarus”的攻击，目的是击垮全球金融系统网站及相关服务。黑客的攻击手法也进行了升级，从以前的以天为单位切换攻击手段，到现在智能的分钟级切换，从单纯的攻击带宽到针对个别链路做精确打击，这些都会企业安全部门和第三方安全厂商提出挑战。

为了应对新的安全挑战，F5 之前的基础上，提出了新的安全架构，其中重点在于南北分层和灰度流量精分。南北分层指的是，当流量请求到来时，首先经过电信运营商和 CDN、云厂商在各个层面上的流量清洗，抵挡高流量的 DDoS 等类型的攻击；灰度流量精分指的则是针对流量做细致的识别和划分，如来自哪个 App、哪个终端、哪个用户、甚至哪个应用版本，并针对每个访问链路做精确控制。这样，可以保证在攻击到来时第一时间感知和应对。

（F5 安全架构）

对于应用层的攻击防护，应用层防御功能一般包括协议识别、IPS、反病毒、URL 过滤等，主要检测报文的应用层负载，几乎不受网络层协议 IPv4/IPv6 影响，因此，大部分传统 IPv4 协议下的应用层安全能力在 IPv6 网络中不受影响。但有少部分 IPv4 网络协议在 IPv6 网络下自身需要发生了变化，比如 DNS 协议升级到 DNSv6，那么对应的应用层安全检测需要根据协议变化进行调整。

目前 IPv6 正在政府部门的推动下快速的大规模部署，可以预见我们在未来的一段时间内都将处于 IPv4 和 IPv6 的混合环境之下，如何做好新环境下的安全防护，也将是我们今后的重要课题。