http://www.magicbeanapp.com

长亭科技全线防护服务

  2019年1月10日,中国人民银行发布关于金融行业贯彻《推进互联网协议第六版(IPv6)规模部署行动计划》的实施意见,提出到 2019 年底,金融服务机构门户网站支持 IPv6 链接访问。基于IPv6安全特点,金融行业针对 IPv6 网络构筑既能有效防范IPv6 安全风险,又不低于现有 IPv4 网络等同防护能力的安全防护体系。加快推进 IPv6 规模部署工作,是金融业今年乃至今后一段时期的重点工作。

  在国家和行业政策的大力支持与推动下,截至2019 年初,许多大型金融机构、互联网企业的 IPv6 改造建设都在如火如荼的进行。网络运营商也初步开放了公网 IPv6 的访问,更多的企业即将面临着新一轮的 IPv6 改造。与此同时,IPv6改造过程中的安全问题也逐渐浮出水面。

  IPv6网络中同样需要WAF、漏洞扫描、蜜罐、VPN、IDS(入侵检测系统)、网络过滤等网络安全设备和技术。由于IPv6的一些新特性,IPv4网中现有的这些安全设备在IPv6中不能直接使用,需要升级改进。其次,IPv4向IPv6过渡过程中,IPv6协议栈会挤占IPv4业务的CPU和内存等资源,导致现有的IPv4业务在会话表容量、吞吐率上会出现不同程度的下降。因此,对现有安全设备、安全系统处理能力进行全面评估和升级,提升设备、系统的适配成程度至关重要。

  由于地址设计原因,IPv4无法访问到IPv6网络,IPv6网络无法平滑实现过渡。为了向IPv6网络逐步演进,需要选用合适的过渡支撑技术,以保证金融、互联网等企业在IPv6改造后需要能够同时对IPv4-only、IPv6-only以及IPv4/IPv6共用的用户提供访问。

  IPv6 时代,互联网流量较从前大幅攀升,随之为应用层流量分析清洗设备的负载和安全性造成压力。应用层安全产品需要具备能够在 IPv6 环境下进行部署,并对 IPv6 流量进行检测的能力。

  能力IPv6 的报文结构与 IPv4 有较大区别,引入了多首部的概念、改变了 IPv4 报文首部的部分字段名称与格式、取消了“首部校验”字段。因此,部署在 IPv6 环境下的应用安全产品应具备支持 IPv6 的报文解析能力。

  企业在对基础网络架构进行 IPv6 改造的同时,也需确保网络中的安全设备与安全软件能支持 IPv6,并进行相应的场景化适配。

  原有的 HTTPS 站点需要修改为 IPv6 HTTPS,相关的 Web 流量处理产品,需要进行加密算法和证书的调整;

  长亭科技应用安全塔防体系,经过产品架构和功能升级,现已全线,目前包括雷池(SafeLine)下一代Web应用防火墙、谛听(D-Sensor)内网威胁感知系统、洞鉴(X-Ray)安全评估系统在内的多款产品已相继获得 IPv6 Ready 的官方认证,标志着应用安全塔防体系全线一致性及互联互通方面均符合IETF IPv6相关 RFC标准,可进行商业部署。

  IPv6 带来了充足的地址空间,使绝大多数使用者无需 NAT,给企业安全建设带来诸多价值。

  追踪溯源:IPv6 协议的“超大地址空间”可以从技术上解决网络实名制和用户身份溯源问题,实现网络精准管理。在 IPv6 部署过程中,可采用地址编码技术识别 IP 地址类型,地址编码可精确到区县级。因而,安全设备可以对客户端进行会话跟踪,同时也方便在攻防对抗的场景下对攻击者进行溯源;

  避免误伤:减轻了阻断攻击源时,由于 IP 是公共出口(企业内网、高校内网、IDC 等)导致的大面积误伤;

  IPv4 到 IPv6 的过渡不可能一蹴而就,针对现阶段 IPv6 改造的架构部署特点,长亭科技应用安全塔防体系在部署模式、防护策略、流量处理、报文解析等方面都进行了 IPv6 适配升级:

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。