◆高浪 馬崢

IPv6環(huán)境下校園網(wǎng)安全防護(hù)技術(shù)研究與應(yīng)用

◆高浪 馬崢

（中國(guó)地質(zhì)大學(xué)（武漢）信息化工作辦公室 湖北 430074）

隨著近年來(lái)高校IPv6網(wǎng)絡(luò)建設(shè)快速發(fā)展，各高校圍繞校園網(wǎng)IPv6部署、IPv6應(yīng)用資源建設(shè)、雙棧協(xié)議轉(zhuǎn)換、IPv6與物聯(lián)網(wǎng)5G網(wǎng)絡(luò)融合等方面開(kāi)展了一系列工作。IPv6環(huán)境下的網(wǎng)絡(luò)安全問(wèn)題也得到日益關(guān)注。本文以IPv6環(huán)境下校園網(wǎng)安全防護(hù)技術(shù)為研究對(duì)象，介紹了高校面臨的網(wǎng)絡(luò)安全威脅現(xiàn)狀，分析當(dāng)前IPv6安全防護(hù)技術(shù)，并結(jié)合高校實(shí)際環(huán)境探索了高校場(chǎng)景下相關(guān)技術(shù)的應(yīng)用。

網(wǎng)絡(luò)安全；IPv6；校園網(wǎng)；安全防護(hù)

隨著移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)4.0等新興產(chǎn)業(yè)迅速發(fā)展，現(xiàn)今互聯(lián)網(wǎng)（IPv4）地址已分配殆盡，而下一代互聯(lián)網(wǎng)（IPv6）擁有128位的IP地址長(zhǎng)度，廣闊的網(wǎng)絡(luò)地址空間完全滿足發(fā)展需要。

IPv6經(jīng)過(guò)二十多年的發(fā)展，目前IPv6技術(shù)應(yīng)用完全成熟，已經(jīng)成為全球通用標(biāo)準(zhǔn)，具備較高的機(jī)密性和完整性。

1 校園網(wǎng)IPv6發(fā)展現(xiàn)狀

教育部于2018年年底印發(fā)了《關(guān)于貫徹落實(shí)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》的通知》，通知就加快教育系統(tǒng)推進(jìn)IPv6 基礎(chǔ)網(wǎng)絡(luò)設(shè)施規(guī)模部署和應(yīng)用系統(tǒng)升級(jí)，促進(jìn)下一代互聯(lián)網(wǎng)與教育的融合創(chuàng)新，推進(jìn)IPv6 規(guī)模部署的實(shí)施等工作提出了具體要求。

根據(jù)教育部2021年3月發(fā)布的《高等學(xué)校數(shù)字校園建設(shè)規(guī)范（試行）》要求，高校校園主干網(wǎng)應(yīng)支持IPv4和IPv6雙棧部署，數(shù)據(jù)中心應(yīng)支持IPv4和IPv6雙棧運(yùn)行。將IPv6建設(shè)納入規(guī)范是國(guó)家IPv6發(fā)展戰(zhàn)略的要求，也是高等學(xué)校數(shù)字校園建設(shè)的實(shí)際需要。

當(dāng)前各高校校園網(wǎng)基本已完成IPv6部署。校園網(wǎng)核心網(wǎng)絡(luò)、出口網(wǎng)絡(luò)、匯聚網(wǎng)絡(luò)、接入網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)、物聯(lián)網(wǎng)全面支持IPv4和IPv6雙棧運(yùn)行。校園部分區(qū)域試點(diǎn)部署了純IPv6網(wǎng)絡(luò)環(huán)境。校園網(wǎng)全面支持IPv6用戶終端接入。學(xué)校門戶網(wǎng)站、線上學(xué)習(xí)資源和重要信息系統(tǒng)均全面支持IPv6訪問(wèn)。

隨著IPv6技術(shù)的快速普及和大規(guī)模的使用，IPv6的網(wǎng)絡(luò)攻擊數(shù)目也呈逐步增長(zhǎng)的趨勢(shì)，一些新型的攻擊方式也逐漸出現(xiàn)?；贗Pv6安全的研究相對(duì)起步較晚，各種安全防護(hù)設(shè)備應(yīng)對(duì)IPv6網(wǎng)絡(luò)攻擊的經(jīng)驗(yàn)和能力尚未經(jīng)過(guò)市場(chǎng)的大面積檢驗(yàn)。這些給校園網(wǎng)的安全工作提出了更高要求。

2 IPv6帶來(lái)的安全挑戰(zhàn)

當(dāng)前IPv6網(wǎng)絡(luò)給高校網(wǎng)絡(luò)安全工作帶來(lái)的挑戰(zhàn)。具體表現(xiàn)以下幾個(gè)方面：

2.1 IPv6網(wǎng)絡(luò)設(shè)計(jì)

IPv6網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的同時(shí)需要同步做好安全建設(shè)。主要涉及網(wǎng)絡(luò)設(shè)備的IPv6安全配置、IPv6地址規(guī)劃和使用分配、IPv6的路由設(shè)計(jì)、IPv6訪問(wèn)控制、IPv6安全策略、IPv6環(huán)境下的DDoS防護(hù)等

2.2 安全產(chǎn)品的IPv6升級(jí)

校園網(wǎng)內(nèi)安全設(shè)備需要全面支持IPv6協(xié)議的識(shí)別和安全防護(hù)，支持IPv6病毒庫(kù)、特征庫(kù)、威脅情報(bào)的升級(jí)，支持IPv6海量地址的日志記錄和行為審計(jì)。

2.3 IPv6協(xié)議棧安全

IPv6端端直連、鄰居發(fā)現(xiàn)協(xié)議、DHCPv6協(xié)議、無(wú)狀態(tài)地址自動(dòng)配置、IP級(jí)AH（Authentication Header）和ESP（Encapsulating Security Payload）標(biāo)記等IPv6協(xié)議棧獨(dú)有技術(shù)的安全問(wèn)題。

2.4 終端安全

全面支持有狀態(tài)IPv6地址接入終端、無(wú)狀態(tài)IPv6地址接入終端的認(rèn)證、鑒權(quán)、審計(jì)和攻擊溯源。支持IPv6終端的安全掃描和終端漏洞監(jiān)測(cè)。

2.5 威脅情報(bào)

當(dāng)前網(wǎng)絡(luò)安全行業(yè)，關(guān)于IPv6攻擊態(tài)勢(shì)、IPv6攻擊分布、IPv6威脅預(yù)警等威脅情報(bào)數(shù)據(jù)的收集發(fā)布工作相較傳統(tǒng)IPv4還存在很大提升空間。

2.6 過(guò)渡期安全

在從IPv4向IPv6過(guò)渡的過(guò)程中，校園網(wǎng)管理員面臨著很多信息安全策略調(diào)整，一些攻擊者可使用IPv6地址空間來(lái)向IPv4網(wǎng)絡(luò)發(fā)起攻擊。

IPv4/v6雙棧、隧道、互通翻譯等過(guò)渡技術(shù)方案，也帶來(lái)了一些安全問(wèn)題和網(wǎng)絡(luò)攻防技術(shù)變化。

2.7 IPv6相關(guān)漏洞

IPv6環(huán)境中的攻擊大量針對(duì)的是傳輸層和應(yīng)用層的安全漏洞，攻擊主要集中在城域網(wǎng)和高校校園網(wǎng)。IPv6相關(guān)漏洞總體呈現(xiàn)攀升趨勢(shì)，值得持續(xù)關(guān)注。

3 IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)

目前IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)主要涉及：可信校園網(wǎng)、應(yīng)用安全、主動(dòng)防御等幾個(gè)方面。

3.1 IPv6可信校園網(wǎng)技術(shù)

建設(shè)IPv6環(huán)境下的可信校園網(wǎng)，主要涉及三個(gè)方面。

（1）服務(wù)器和終端安全

提升服務(wù)器用戶終端的安全防護(hù)等級(jí)，主要涉及：操作系統(tǒng)漏洞掃描、補(bǔ)丁發(fā)布和安全加固技術(shù)、云平臺(tái)安全；接入認(rèn)證、鑒權(quán)、審計(jì)技術(shù)；支持IPv6協(xié)議的上網(wǎng)行為管理技術(shù)，IPv6地址分配管理技術(shù)。

（2）網(wǎng)絡(luò)安全

提升網(wǎng)絡(luò)級(jí)別的安全防護(hù)。涉及安全網(wǎng)關(guān)（路由器ACL，包過(guò)濾防火墻和代理）、入侵檢測(cè)防御系統(tǒng)、支持IPv6 DDoS防護(hù)技術(shù)等。

（3）信息安全

校園網(wǎng)信息安技術(shù)主要涉及：IPv6環(huán)境的數(shù)據(jù)泄露防護(hù)技術(shù)、數(shù)據(jù)庫(kù)防護(hù)技術(shù)、大數(shù)據(jù)平臺(tái)安全、數(shù)字證書、商業(yè)密碼等。

3.2 IPv6應(yīng)用安全防護(hù)技術(shù)

提供應(yīng)用級(jí)別的安全防護(hù)。涉及網(wǎng)絡(luò)應(yīng)用威脅模型（包括客戶端和服務(wù)器端）、IPv6資產(chǎn)互聯(lián)網(wǎng)暴露面監(jiān)測(cè)技術(shù)、IPv6應(yīng)用入侵檢測(cè)和防護(hù)技術(shù)、IPv6配置核查、WEB掃描、流量清洗、IPv6郵件網(wǎng)關(guān)等。

3.3 IPv6主動(dòng)防御技術(shù)

充分利用安全聯(lián)動(dòng)技術(shù)、蜜罐技術(shù)、動(dòng)態(tài)防御技術(shù)構(gòu)建主動(dòng)安全防御體系。感知基于IPv6的網(wǎng)絡(luò)攻擊行為，實(shí)現(xiàn)“攻擊感知精準(zhǔn)化、攻擊過(guò)程可視化”，并通過(guò)攻擊行為反向推進(jìn)傳統(tǒng)基于特征庫(kù)的WAF、IPS等設(shè)備的升級(jí)和優(yōu)化，整體提高面對(duì)IPv6網(wǎng)絡(luò)功能的檢測(cè)、阻斷和應(yīng)急處置能力。

4 IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用

IPv6網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)結(jié)合高校實(shí)際情況應(yīng)用。圍繞“一個(gè)中心，三重防護(hù)”建設(shè)防護(hù)體系。

4.1 在校園網(wǎng)安全體系建設(shè)中的應(yīng)用

校園網(wǎng)部署全面支持IPv6的安全態(tài)勢(shì)感知平臺(tái)、安全管理平臺(tái)、網(wǎng)絡(luò)與IT資產(chǎn)管理平臺(tái)、安全日志審計(jì)平臺(tái)。

具備對(duì)IPv6入網(wǎng)資產(chǎn)、終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備，統(tǒng)一管理、統(tǒng)一監(jiān)控能力；對(duì)IPv6流量、IPv6網(wǎng)絡(luò)行為、IPv6威脅攻擊，統(tǒng)一審計(jì)、綜合分析且協(xié)同防護(hù)能力。

4.2 在校園物聯(lián)網(wǎng)建設(shè)中的應(yīng)用

校園物聯(lián)網(wǎng)接入終端數(shù)量大、分布廣、種類多。在校園物聯(lián)網(wǎng)中使用IPv6地址很好的解決傳統(tǒng)IPv4網(wǎng)絡(luò)的不足。

多業(yè)務(wù)物聯(lián)網(wǎng)的IPv6部署；實(shí)現(xiàn)物聯(lián)網(wǎng)終端即插即用，無(wú)感準(zhǔn)入；實(shí)現(xiàn)物聯(lián)網(wǎng)終端可視化管理；實(shí)現(xiàn)物聯(lián)網(wǎng)終端入網(wǎng)可控，啞終端自動(dòng)上線；實(shí)現(xiàn)針對(duì)物聯(lián)網(wǎng)終端的IPv6地址管理；實(shí)現(xiàn)分級(jí)分權(quán)管理；實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)隔離，提高信息安全。

4.3 在校園5G專網(wǎng)建設(shè)中的應(yīng)用

可利用二次鑒權(quán)技術(shù)，使運(yùn)營(yíng)商5G網(wǎng)絡(luò)與學(xué)校IPv6網(wǎng)絡(luò)本地在可信、安全的前提下，實(shí)現(xiàn)互聯(lián)互通。可靈活利用IPv6網(wǎng)絡(luò)和5G網(wǎng)絡(luò)構(gòu)建跨地域的安全虛擬校園網(wǎng)。

5 結(jié)束語(yǔ)

IPv6規(guī)模應(yīng)用為解決網(wǎng)絡(luò)安全問(wèn)題提供了新平臺(tái)。IPv6網(wǎng)絡(luò)安全建設(shè)是國(guó)家網(wǎng)絡(luò)安全和教育信息化中的重要一環(huán)。IPv6技術(shù)創(chuàng)新與網(wǎng)絡(luò)安全防護(hù)技術(shù)相結(jié)合，將會(huì)不斷創(chuàng)新校園網(wǎng)安全保障手段，不斷完善校園網(wǎng)安全保障體系。

[1]IPv6環(huán)境下的網(wǎng)絡(luò)安全觀察[J].信息安全與通信保密，2019（08）：87-94.

[2]朱慧.高校IPv6網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（07）：98-100.

[3]馮騏.校園網(wǎng)IPv6終端的MAC地址追溯[J].中國(guó)教育網(wǎng)絡(luò)，2021，264（04）：51-52.

[4]楊凱，羅玉盤，劉志宏.IPv6在校園網(wǎng)安全防護(hù)中的應(yīng)用[J].電子技術(shù)，2021，50（06）：48-49.

[5]覃德澤，李立信.高校智慧校園網(wǎng)中物聯(lián)網(wǎng)、5G、云計(jì)算及IPv6的融合問(wèn)題探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019，228（12）：104-106.