IPv6網絡的安全風險點與應對建議

寧夏回族自治區生態環境信息與應急中心 許國棟

近年來，隨著新基建的發展，特別是5G、物聯網、云服務、數據中心等增量大規模建設的需求，這些“新增量”可以完全基于IPv6、甚至純IPv6進行部署來提質、降本、增效。因此，在構建IPv6網絡過程中如何保障網絡整體的安全性和穩定性，最大限度做好網絡安全防護和風險應對就顯得至關重要?；诖?，本文對IPv6網絡協議的安全風險點進行了研究并提出了幾點安全應對建議。

“互聯網之父”文頓·瑟夫博士曾表示：“IPv4是實驗網絡，IPv6網絡是未來發展的必由之路?！?，IPv6網絡是全球公認的下一代互聯網商業應用解決方案。當前，IPv6網絡協議技術水平正在高速發展，性能也在持續不斷提高，截至2022年7月，IPv6互聯網活躍用戶量達到6.93億，占互聯網網民總數的67.1%，用戶群體日趨龐大。在各個行業領域中，信息化基礎設施建設明顯增速，新基建的快速發展有效推動了IPv6的建設進程，事實上，IPv6可以理解就是當前和未來一段時間新基建的建設和發展基礎。那么，一旦IPv6安全出現了問題，新基建的安全和穩定發展也就岌岌可危。因此，針對IPv6網絡協議經常出現的安全風險點進行分析和預防，形成一種科學合理的安全防范體系和應對措施，避免對網絡的整體運行性能和實施效果造成影響，從而達到增強IPv6網絡安全防護的目的[1]。

1 IPv6網絡協議

2011年底，IPv4地址已經基本售罄，IPv6開始大規模啟用，相比IPv4的地址空間，IPv6整體有了極大地提升，與此同時，它還具備網絡前綴，能夠對子網開展標定，這在一定程度上拓展了它的子網地址，可以進一步彌補IPv4網絡地址較少的不足，換句話說，IPv6可以理解為有近似無窮個地址空間，根本不需要像IPv4一樣借助NAT來擴展地址空間，同時，龐大的地址空間能實現對網絡絲質的按層次劃分，減少路由表的規模大小。報文結構相對IPv4來說也進行了優化， IPv6包頭包含兩部分內容，一部分是固定的報文內容；另一部分是擴展的報文內容。針對各種各樣的協議，IPv6均能夠很好地完成分區，同時還能開展獨立存儲，這樣就可以盡快對它的協議頭開展處理，配置靈活方便，使得數據包的處理效率更高，支持的業務類型更豐富。就IPv6網絡來看，IPsec協議的使用能夠實現端到端的安全，在各個端口之間可以有效確保其安全性，也是比IPv4網絡的安全性高。另外，IPv6還強化了移動終端的移動特性，降低了網絡部署的操作難度，實現了IP地址的自動配置。IPv6相對于IPv4的優勢簡要介紹如表1所示。

表1 IPv6協議和IPv4協議的幾點比較Tab.1 Comparison between IPv6 protocol and IPv4 protocol

IPv6網絡協議的不斷深入發展為提高網絡管理和網絡安全創新機制提供了新方式、新思路、新方向，在網絡地址精準管理、數據傳輸加密、事后追蹤溯源上均有很好的安全保障。但不可忽視的是，IPv6網絡傳輸的本質并沒有變化，所以在實際應用上仍會有一系列的安全問題產生，需要引起高度重視。如IPv6網絡全新協議本身，目前一些地方構建的IPv4網絡向IPv6網絡過渡階段演進技術上，以及在IPv6網絡協議應用管理方面和設備功能支撐層面等均存在一定的安全風險。

2 IPv6網絡風險分析

2.1 IPv6網絡協議的安全風險點

當前在用的IPv6網絡協議，在最早設計時已經強化了對安全層面的考慮，但是依舊無法考慮和規避所有的安全風險問題。首先是超大的地址數量雖然解決了地址短缺的問題，但是海量的地址空間給安全檢測工作帶來了巨大的難題，進行大規模的地址查詢難度較大且十分復雜；其次是靈活的擴展報文內容和全新的流標簽，提升了數據包的處理效率和提供了個性化的網絡服務，但同時也成為了攻擊和入侵的切入點，在實際運行中會受到NDP攻擊、路由重定向攻擊等安全風險，導致出現攔截和篡改數據包的情況發生。

2.2 IPv4和IPv6共存網絡的安全風險點

IPv4和IPv6網絡協議并不兼容，兩者無法直接相互通信，目前構建的網絡協議中采用了IPv4向IPv6過渡的演進技術，在IPv4向IPv6過渡時，產生的漏洞可以被攻擊者利用并繞開安全監測來開展攻擊行為，常見的3種過渡協議有雙棧協議、隧道機制協議、翻譯機制協議。在雙棧環境下，IPv6和IPv4兩個邏輯通道，其中一個出現漏洞引發的攻擊均會導致支持雙棧網絡節點的方式，對其邏輯上的兩張網絡之間相互傳播處理，從而對網絡造成直接影響；在隧道機制環境下，因現有網絡很多無法實現整體升級，必須利用客戶端或路由器的方式進行自動化隧道的構建來實現對IPv6的接入，而這種隧道出口路由器就成為了攻擊者的攻擊目標，一旦其隧道節點受到攻擊就會導致整體網絡的安全性受到嚴重影響；在翻譯機制環境下，最常見的是DDos攻擊威脅，通過制造大量的NAT轉換請求，導致翻譯節點無法實現對用戶的正常分配，就會對整體網絡的安全性帶來極大的威脅[2]。

2.3 IPv6網絡在產業和管理方面的風險點

當前構建的網絡中，IPv4用戶和設備數量龐大，大部分應用仍處在IPv4網絡環境中，IPv6網絡僅占目前整個龐大網絡的極小部分，在局部范圍形成小范圍“孤島”網絡，而且大多數網絡設備只能支持IPv4協議，雖然也有極少數支持IPv6協議的設備在用，但其具備的安全防護能力也十分有限，根本無法有效應對，一旦IPv6大規模推廣應用將會衍生出來一系列安全隱患問題。另外，IPv6的海量地址可以滿足全球所有終端的單播地址使用，無需借助NAT來轉換，但同時也失去了NAT的保護機制，且大量的地址空間在分配和管理上難度極大。在IPv6網絡的實際管理過程中，由于管理機制和管理模式不完善，無法做到管理措施的合理應用，還有因缺少管理經驗導致無法擬定科學合理的安全管理制度。

3 部署IPv6的安全應對措施

在加快IPv6網絡部署的工作中，如何有效建立基于IPv6網絡協議下的安全風險防御體系，在后續網絡規劃以及建設的過程中，保障各方面的安全性與穩定性[3]。

3.1 在管理和行業層面的安全保障

對IPv6網絡協議管理，應采用科學、合理的方式，強化整體網絡的安全性。首先，對IPv6網絡協議應在政府層面上制定政策制度和各項技術規范標準，并做好對IPv6網絡協議部署過程中的安全管理和實時監督。其次，行業內需要大力研制與更新支持IPv6的安全網絡設備[4]，推進通信行業的全部內容資源對IPv6的支持。提高網絡協議部署者的職業素質和專業素養，使他們能夠熟練地掌握整個網絡的安全技術，防止在網絡部署中出現安全隱患，及時發現并進行相應的風險防范和控制，以免對網絡的安全性產生影響。最后，建立健全網絡協議安全管理體系，對存在的安全問題進行嚴厲的處罰，從而提高IPv6網絡協議的實際使用效率。另外，為了保證IPv6網絡協議在實際使用中的安全性和穩定性，不容忽視的一點是，需要投入大量的人力物力對IPv6相關的設備、網絡、技術進行全面有效的測試，并根據其特點，有針對性的制訂相應的測試計劃并逐項落實。在現階段的基建網絡建設中需要進行更加精密的劃分，保證安全訪問控制策略配置的精確度能夠達到更高。

3.2 在系統安全層面的構建措施

（1）設備更新。目前使用的網絡安全保護技術對IPv6的某些功能還存在著安全隱患，所以在實際應用中，必須對部分設備進行整體的安全保護和調整，從而達到較好的處理效果[5]。（2）功能要求。在使用防火墻的過程中，應該結合工作需求采用可行的過渡技術，集成到應用層網關中，來滿足IPv6的解析、識別以及病毒的檢測分析，實現一種科學、合理的IPv4和IPv6共存的雙棧應用場景。（3）性能要求。在IPv6報文結構中，需要有效地處理不同的IPv6協議頭信息，針對包含多個擴展頭信息的數據包需要更加細致謹慎的處理，特別是在出現異常的擴展頭數據包之后需要對其提供更高的性能方面的要求。（4）策略要求。對構建出的安全防護設備進行雙棧配置，并且要對不同的邏輯通道進行必要的安全需求分析和控制，換句話說，在對安全策略的把握上需要有一致性的檢查能力。（5）安全網絡檢測。要求在利用安全檢測工具進行網絡檢測時，需要首先準確了解實際在用的調度策略，展開深入的研究并進行進一步的優化處理；其次，在使用相關專項檢測工具時，仍然需要重點對IPv6地址進行相應的檢測分析。（6）安全網絡監測。需要做好現階段一些在用的防病毒、惡意軟件等安全問題的處理方式、措施與IPv6之間如何建立一種全面緊密的關聯性，進而收集統計各種風險問題，形成一個盡可能全面覆蓋的安全威脅規則庫，通過分析和總結，便于在之后的安全排查和隱患處理方面，可以更好更塊的找出有針對性的、科學合理的各類網絡安全檢測與防護技術。

3.3 防控安全攻擊措施

當前的IPv6網絡在使用中存在著安全漏洞，這將極大地影響到整個系統的安全。因此，要根據網絡攻擊的不同特征，采取相應的預防和控制策略。

（1）加強對網絡自身的保護，并通過適當的邊界保護技術對網絡協議的安全漏洞進行及時的修復。針對IP地址數目龐大的特點，提出了一種針對大規模IP地址的安全攻擊防護策略。同時，IPv6的DNS系統還可以根據特定的網絡操作要求加強DNS的安全保護，并對其進行合理的冗余備份和安全攻擊處理，從而保證IPv6網絡中的新問題和新挑戰。

（2）IPv6網絡與IPv4網絡雙棧的情況下，還需進行防火墻系統和安全攻擊防范設備的升級處理，按照防火墻具體的性能和位置特點，結合安全防護設備的性能和位置，在出口路由器的外部或者出口路由器和內部網絡之間設置防火墻，這樣在一定程度上能夠預防出現安全攻擊的風險[6]。

（3）部分入侵者會通過網絡協議自身的缺陷來攻擊網絡協議。為了防止這種攻擊，必須對網絡協議的部署、IP地址擴展頭的數目進行嚴格的控制，以最大限度的減少分組的數目，并防止這種攻擊[7]。

4 結語

綜上所述，在新信息基礎設施建設中部署IPv6網絡協議之后，安全性會得到了極大地提高，但仍需要針對IPv6可能出現的各類安全問題，有針對性的在安全管理、產品、技術、培訓等方面加強來進行有效防范，用以提升IPv6網絡的整體安全性和穩定性。

引用

[1]高秋燕.基于高校的IPv6網絡安全研究與實現[J.信息系統工程,2021(2):55-56.

[2]邢帆.高校數據與網絡虛擬化研討——IPv6工作組技術沙龍北京外國語大學站[J].中國信息化,2017(7):12-13.

[3]孫雅娟,林紅.關于高校IPv6校園網絡中ND協議安全的研究[J].華北電力大學學報(社會科學版),2011(S2):321-324.

[4]徐震,韓言妮.IPv6網絡的安全風險與應對分析[J].華北電力大學學報(社會科學版),2018(7):51-53.

[5]翟昱,買爾旦·肉孜.關于 IPv6 網絡帶來的安全風險與應對措施[J].數字通信世界,2021,22(8):153-154.

[6]張思源.基于IPv6的智能家居系統設計[J].數字技術與應用,2014(3):134-137.

[7]徐華.IPv6 網絡的安全風險分析[J].科技風,2019,14(28):248-258.