孫杰賢

截至2016年10月底，亞太、歐洲、拉美、北美等地區(qū)IPv4地址池已完全耗盡。和最多提供約43億個(gè)IP地址的IPv4 相比，IPv6理論可提供2的128次方個(gè)IP地址。據(jù)說(shuō)，就算給鋪在地球表面上的每一粒沙子都分配一個(gè)IP地址，IPv6仍然是綽綽有余。當(dāng)然，相比IPv4，IPv6的優(yōu)勢(shì)不至海量這一點(diǎn)。

大概10多年前，就有“未來(lái)的互聯(lián)網(wǎng)屬于IPv6”的歡呼和論斷。但我們從來(lái)沒有IPv4被吊打的深切感受，也沒有見到IPv6的遍地開花。然而5G來(lái)了，物聯(lián)網(wǎng)來(lái)了，這一次，IPv6真的有了用武之地。

IPv6部署重回正軌

去年11月26日，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，指出：“抓住全球網(wǎng)絡(luò)信息技術(shù)加速創(chuàng)新變革、信息基礎(chǔ)設(shè)施快速演進(jìn)升級(jí)的歷史機(jī)遇，加強(qiáng)統(tǒng)籌謀劃，加快推進(jìn)IPv6規(guī)模部署，構(gòu)建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網(wǎng)，是加快網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)、加速國(guó)家信息化進(jìn)程、助力經(jīng)濟(jì)社會(huì)發(fā)展、贏得未來(lái)國(guó)際競(jìng)爭(zhēng)新優(yōu)勢(shì)的緊迫要求?！?/p>

可以說(shuō)，《行動(dòng)計(jì)劃》的推出讓IPv6部署和應(yīng)用重回正軌。我國(guó)計(jì)劃用5到10年時(shí)間，形成下一代互聯(lián)網(wǎng)自主技術(shù)體系和產(chǎn)業(yè)生態(tài)，建成全球最大規(guī)模的IPv6商業(yè)應(yīng)用網(wǎng)絡(luò)，實(shí)現(xiàn)下一代互聯(lián)網(wǎng)在經(jīng)濟(jì)社會(huì)各領(lǐng)域深度融合應(yīng)用，成為全球下一代互聯(lián)網(wǎng)發(fā)展的重要主導(dǎo)力量。

我國(guó)政府之所以大力推進(jìn)IPv6的規(guī)模部署，一方面因?yàn)镮Pv6擁有更充沛的地址資源、更可靠的安全保障；更是順應(yīng)了因AI、大數(shù)據(jù)、云計(jì)算、5G、物聯(lián)網(wǎng)等技術(shù)的出現(xiàn)和應(yīng)用而蓬勃發(fā)展的萬(wàn)物互聯(lián)智能世界的要求。數(shù)字技術(shù)的創(chuàng)新，將進(jìn)一步推動(dòng)產(chǎn)業(yè)的發(fā)展，從而驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)的進(jìn)一步增長(zhǎng)。

此外，還有一個(gè)很重要的原因就是IPv6網(wǎng)絡(luò)的安全性。加快IPv6規(guī)模應(yīng)用為解決網(wǎng)絡(luò)安全問題提供了新平臺(tái)，為提高網(wǎng)絡(luò)安全管理效率和創(chuàng)新網(wǎng)絡(luò)安全機(jī)制提供了新思路。大力發(fā)展基于IPv6的下一代互聯(lián)網(wǎng)，有助于進(jìn)一步創(chuàng)新網(wǎng)絡(luò)安全保障手段，不斷完善網(wǎng)絡(luò)安全保障體系，顯著增強(qiáng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知和快速處置能力，大幅提升重要數(shù)據(jù)資源和個(gè)人信息安全保護(hù)水平，進(jìn)一步增強(qiáng)互聯(lián)網(wǎng)的安全可信和綜合治理能力。

安全風(fēng)險(xiǎn)依然存在

最開始IPv6的初衷確實(shí)考慮到IPv4在安全方面的缺陷做出改進(jìn)，但在IPv6協(xié)議制定過程中，大量的安全機(jī)制從強(qiáng)制降級(jí)為推薦，這使得在協(xié)議層面，IPv6本身并不比IPv4更安全。而且，IPv6對(duì)組播沒有太多限制，惡意代碼就可以利用這個(gè)特點(diǎn)做更廣泛的傳播。山石網(wǎng)科產(chǎn)品線資深經(jīng)理徐涵表示，相對(duì)于IPv4的網(wǎng)絡(luò)環(huán)境，IPv6的網(wǎng)絡(luò)雖然不容易被地址掃描（海量地址）、碎片攻擊（協(xié)議完善）、廣播風(fēng)暴（協(xié)議完善）、以及DHCP攻擊（海量地址）。但是病毒、蠕蟲、CC、欺騙、DDoS等攻擊依然存在。他還強(qiáng)調(diào)，當(dāng)前正處于IPv4與IPv6雙棧共存的過渡期，在升級(jí)到IPv6的過程中，安全的問題也必須要注意，避免產(chǎn)生新的系統(tǒng)和網(wǎng)絡(luò)漏洞。

今年初，美國(guó)商務(wù)部與國(guó)土安全部聯(lián)合出臺(tái)一份長(zhǎng)達(dá)38頁(yè)的網(wǎng)絡(luò)安全報(bào)告草案——《提高互聯(lián)網(wǎng)與通信生態(tài)系統(tǒng)對(duì)僵尸網(wǎng)絡(luò)及其它自動(dòng)分布式威脅的抵御能力》，報(bào)告對(duì)于IPv6這一網(wǎng)絡(luò)安全新協(xié)議得到廣泛采用后將引發(fā)的潛在影響感到擔(dān)憂：IPv6將為每一臺(tái)物聯(lián)設(shè)備提供其惟一IP地址，這意味著更易受到入侵與黑客攻擊的影響。而利用IPv4與NAT將各設(shè)備部署在同一IP地址之后的作法能夠帶來(lái)更理想的安全保障效果。這是普及IPv6必然面臨的問題。草案亦強(qiáng)調(diào)，應(yīng)調(diào)查“IPv6的部署會(huì)給攻擊與防御活動(dòng)的經(jīng)濟(jì)性狀況產(chǎn)生怎樣的影響”，并提出應(yīng)確?；ヂ?lián)網(wǎng)服務(wù)供應(yīng)商采取更行之有效的激勵(lì)措施。

產(chǎn)業(yè)化有待加強(qiáng)

缺少能夠直接應(yīng)用到IPv6環(huán)境中的網(wǎng)絡(luò)安全設(shè)備和方案一度是IPv6推進(jìn)過程中的一個(gè)痛點(diǎn)和瓶頸。市場(chǎng)上網(wǎng)絡(luò)安全產(chǎn)品IPv6的支持度普遍較低，通過IPv6 Ready Logo認(rèn)證的抗DDoS、入侵檢測(cè)、應(yīng)用防火墻等安全產(chǎn)品數(shù)量較少。

近日，山石網(wǎng)科公司聲稱已經(jīng)成功打造了基于IPv6的多維安全防護(hù)體系。根據(jù)徐涵的介紹，此次推出的IPv6解決方案支持雙棧網(wǎng)絡(luò)、隧道技術(shù)、IPv6/IPv4的地址轉(zhuǎn)換、以及基礎(chǔ)防火墻功能，包括NAT、VPN、狀態(tài)檢測(cè)等，能夠?qū)崿F(xiàn)4到7層、服務(wù)器到云端的全面防護(hù)。同時(shí)，依托“山石智·源智能網(wǎng)絡(luò)大數(shù)據(jù)分析平臺(tái)”用戶可以進(jìn)行全景網(wǎng)絡(luò)安全、業(yè)務(wù)安全以及潛在威脅的態(tài)勢(shì)呈現(xiàn)、分析、預(yù)測(cè)和處置。至此，山石網(wǎng)科的安全防護(hù)體系除了具備云計(jì)算能力以外，更掌握了大數(shù)據(jù)分析處理能力以及人工智能技術(shù)，可以實(shí)現(xiàn)更精準(zhǔn)、更及時(shí)地定位安全風(fēng)險(xiǎn)所在，并實(shí)施快速有效的安全防護(hù)，為IPv6保駕護(hù)航。

總體而言，相比IPv4，目前市場(chǎng)上網(wǎng)絡(luò)安全產(chǎn)品IPv6的支持度普遍較低，通過IPv6 Ready Logo認(rèn)證的抗DDoS、入侵檢測(cè)、應(yīng)用防火墻等安全產(chǎn)品數(shù)量較少。這將極大掣肘IPv6在我國(guó)的推進(jìn)速度和廣度。但有市場(chǎng)就會(huì)有動(dòng)力，相信隨著《行動(dòng)計(jì)劃》推出，這一局面將會(huì)有所改變。

此外，徐涵還提醒，除了IPv6本身存在的安全風(fēng)險(xiǎn)外，IPv4向IPv6過渡過程中的安全風(fēng)險(xiǎn)同樣不能忽視，應(yīng)該盡量避免產(chǎn)生新的系統(tǒng)和網(wǎng)絡(luò)漏洞。