近日,中央网信办组织召开深入推进IPv6规模部署和应用贯彻落实会议。会议围绕“十四五”IPv6规模部署和应用工作,阐述了2021年重点工作,就深化政府、央企、金融、教育、医疗、电信、水利等重点行业的IPv6改造做出指导性建议。
2021年IPv6主要发展目标
6月9日网信办、工信部、发改委颁发的《深入推进IPv6规模部署和应用2021年工作安排》中指出到2021年末,网络承载能力显著增强,IPv6网络关键指标不劣IPv4,移动网络IPv6流最占比达到20%,城域网IPv6流量占比达到5%,县级以上政府门户网站IPv6支持率达到70%,国内主要商业网站及移动互联网应用IPv6支持率达到60%。
深化各行业IPv6升级改造
2021年IPv6改造重点工作中,对中央企业、政务网站、金融、医疗等行业提出了更高的要求。
1)国务国资委要求到2021年底中央企业集团总部门户网站、公众在线服务窗口、移动互联网应用等全面支持IPv6。
2)在国务院办公厅颁发的《2021年政务公开工作要点》中提出明确要求,推动县级以上政府门户网站完成IPv6升级改造,年中进行中期检查,建立日常督促提醒机制。年末进行全面检查对未达到目标的政府门户网站进行通报。
3)中国银保监会建议稳步推进金融行业系统IPv6平滑演进升级,健全IPv6监控运维体系完善网络安全管理制度与能力。将开展联合专项摸排,摸底各金融服务机构IPv6改造进展情况。
4)国家卫健委加快IPv6在远程医疗、医院信息化的部署应用,要求医院互联网、医疗公众服务平台全面支持IPv6。
IPv6安全防护必不可少
在国家大力推进各行业IPv6规模部署行动计划的背景下,IPv6网络安全保障工作也不容忽视,公安部强调要落实等保要求,全力加强IPv6安全保障能力。
知道创宇通过近年来一线网络安全保障的实战中发现,来自IPv6的攻击呈爆炸式增长,2020国庆期间,知道创宇云防御平台捕获拦截了超过1276万余次来自IPv6网络的攻击,拦截13141个恶意IPv6地址,IPv6攻击正在逐渐成为安全攻防的新焦点。
更令人担忧的是,目前市面上存在有IPv6改造设备存在代理域名未验证情况,导致可以通过用户网站代理访问任何其它网站内容,且存在被恶意滥用情况。黑客可通过构造代理链接,可以实现通过该域名访问诸如博彩、色情、反动、暴恐网站的效果。知道创宇发现多个部委级网站受到该类攻击,社会影响巨大。
图源《“失控”的IPv6:观察IPv6网络环境安全现状》
综上所述,安全问题已经成为IPv6升级改造中不容忽略的重点,IPv6安全防护升级刻不容缓。
如何安全的完成IPv6升级改造
在IPv6改造过程中,需合规及安全并重,知道创宇推出的IPv6安全解决方案,客户网站无需进行任何改造、不用添加任何硬件设备,几分钟内快速支持IPv6访客访问,提供稳定可靠的IPv6专属防护。
针对尚未支持IPv6的业务系统,采用NAT转化方案,几分钟内快速支持IPv6访客访问,并将流量接入创宇防御集群,进行防御清洗,提供安全加速和安全防护能力,保障网站的安全性。
业务系统不支持IPv6的情况(NAT转换方案)
针对已支持IPv6的业务系统,知道创宇提供基于IPv4/IPv6双栈防御的攻击防护,只将安全流量转发给网站源站。
业务系统支持IPv6的情况(双栈方案)
方案特点
01快速拥有IPv6访问能力
知道创宇云防御平台可以帮助业务系统在已有支持IPv4用户访问的基础上,几分钟内快速支持IPv6访客访问,业务系统无需进行任何改造、不用添加任何硬件设备。
02安全加速,安全防护
知道创宇将IPv6流量转换为IPv4流量,进行防御清洗,将安全流量转发给业务系统源站,提供安全加速和安全防护能力,保障业务系统的安全性。
03弹性资源,高可用性
知道创宇云防御平台根据IPv6访问态势以及攻击态势,动态调整资源,确保IPv6正常访问;提供跨可用区部署,单个可用区故障时,迅速切换,保障IPv6转换服务的业务连续性。
04无感知解决IPv6天窗问题
针对“天窗”问题,知道创宇云安全通过云端节点将返回页面中的外链导向至IPv6/IPv4转换节点,使其代理访问IPv4访问请求,并将外链内容转换为IPv6返回给客户端,让客户在无感知的情况下正常浏览网页,有效保障用户访问体验。
改造效果
截至目前,知道创宇已积极配合包括政府单位、国企央企、金融、教育等各行各业的多家客户进行了IPv6安全改造,基于知道创宇充分的技术准备和安全能力,均圆满完成对客户业务系统IPv6/IPv4双栈访问的支持,同时具备IPv6/IPv4流量的安全防护能力。在完成IPv6合规检查同时,保障业务系统安全不受影响。
部分IPv6安全改造客户发来的感谢信