IPv6规模部署下的网络基础设施

1、IPv6相对IPv4的两方面重要改进

IPv6从1994年在IETF IPng工作组中开始制定，重点解决IPv4在两方面的问题：

一个是"地址空间"：与IPv4相比，IPv6把IP地址的空间从2的32次方扩展到了2的128次方。举个例子，现在的蠕虫把所有IPv4地址空间整个扫描一遍大概要30分钟，但以同样的方法想扫描完整个IPv6地址空间，需要500多亿年。

另一个就是"网络安全"：IPv6通过地址的管理和路由机制，使得IP层的溯源与可信验证成为可能。举例来说：IP协议就好比网络中的邮递员，用户只要把填好发件人地址、收件人地址的邮件包裹交给邮递员，邮递员就会尽最大努力把邮件送达对方，而收件方也可以根据邮件中的发件人地址把应答邮件让邮递员发回。在IPv4下对源与目标地址是没有可信验证机制的，就好比邮递员对收件人地址和发件人地址都没有任何真实性要求，因此坏人可以过邮递系统寄送违禁品甚至寄送炸弹发动恐怖袭击，而他只要使用虚假的发件地址就永远无法被追查到；但在IPv6下，所有的源地址和目标地址都是可信任、可溯源的，这就好比邮局要求用户寄件必须实名制，这就大大减少了攻击者滥用邮政系统的机会。同理，在IP地址可信、可溯源的IPv6网络内，攻击者滥用IP网络发动攻击的行为也会被极大的遏制。这就是为什么业界普遍认为，当IPv6一旦广泛部署后，会极大改善现有网络安全形势的原因。

中国对IPv6的推广使用有两个时间点：第一个是在2011年之前，部署IPv6 Ready网络以应对IP地址不足的问题；第二个就是2017年11月26日中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版（IPv6）规模部署行动计划》，这一次的出发点，就是希望借助IPv6在安全性上的改进，促进中国的网络空间安全治理工作，扭转当前网络安全的严峻形势。

总结而言，IPv6技术是实施网络空间安全治理的基础性技术。

2、IPv6可以解决的网络安全问题

IPv6基于它的极大IP地址空间以及对应的协议栈安全设计，可以从根本上解决IPv4网络所面临的扫描泛滥、攻击不可追查、易于遭受DDoS攻击、IP Spoofing攻击无法从根本上杜绝等顽疾。IPv6可以解决的网络层攻击问题如下：

1）实现IP地址管理与源地址检查，解决IPv4下地址不可靠的问题

由于IPv6地址构造是可会聚的(aggregateable)、层次化的地址结构，因此IPv6的路由策略是在协议定义中固化的，不再需要逐条在核心路由器上配置，消除了权威机构把控核心路由对国家安全造成的风险。

IPv6下地址长度很长，不可能再通过人工分配IP，而必须基于自动化的IP地址管理技术。比如：IPv6提供CGA等将地址与用户证书绑定的地址验证机制，可以避免IP地址伪造带来的安全问题。

总之，由于IPv6协议下地址的分配使用严格受控、难以进行地址伪造、易于进行点对点溯源，IPv6可以解决IPv4下基于IP地址伪造的各种攻击，攻击活动更易被追查。

2）消除IPv4下针对复杂IP报文头的攻击

IPv6数据包头由基本头不同类型的扩展报头组成，基本头和扩展头功能明确，固定长度，不允许分片，解决了IPv4下针对包头的碎片攻击。

3）防范基于IPv4广播机制的网络放大攻击(Broadcast Amplication Attacks)

对于类似Smurf这样的攻击类型，在RFC2463中已经有禁止机制阻止此类攻击的发生。ICMPv6取消了广播，从机制上阻止IPv4下的放大攻击。

4）防止已知的碎片攻击

IPv6对于碎片机制具有严格的限制。比如：IPv6认为MTU小于1280字节的数据包是非法的，处理时会丢弃MTU小于1280字节的数据包(除非它是最后一个包)，这有助于防止碎片攻击。

IPv6对IPv4下的分片ID的生成机制进行了安全性约束，使得分片ID不能被攻击者预测，从而使得攻击者通过预测Fragment ID，发送伪造的碎片报文以发动攻击的方法在IPv6下不再有效。

5）可有效抵御网络蠕虫攻击

基于网络扫描的传播方式在IPv4环境下普遍而且非常迅速，典型的蠕虫算法可以在30分钟内扫描整个IPv4网络。但同样算法要完成对2的64次方（IPv6子网地址空间）IPv6地址的扫描需要花费数亿年。病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。

6）对DNS域名服务等网络关键基础设施的安全性提供扩展

基于IPv6的DNS系统可作为PKI系统的基础设施，有助于PKI架构在IP网络中的部署，可抵御网上的身份伪装与偷窃。

7）IPsec提供网络层安全通信保障机制

根据RFC4301中的定义，IPsec是IPv6协议中的一个可选部分。IPsec在IPv6中的用途，主要是保证IPsec协议栈自身的安全性，使得IPsec协议可以为诸如OSPFv3、RIPng提供无缝的加密和认证，提高整个IPv6网络抗攻击的能力。

当IPv6的用户使用IPsec协议为用户应用提供安全服务时，用户的使用模式与在IPv4下使用IPsec完全相同。

8）有效防御基于IP的"中间人"等基于IP地址欺骗的攻击方式

IPv6有较为健全的认证机制，如果充分利用，有能力在第一跳阻止恶意设备。如果启用IPv6内增强的端到端鉴别机制，可以最大限度预防中间人攻击；否则中间人攻击依然有效。

9）在IPv6下提供NPT代替IPv4下的NAT，避免基于NAT后的不可溯源

对于需要在IPv6下隐藏内网地址的用户，可以使用IPv6 Network Prefix Translation协议（RFC6296）隐藏内部IPv6地址。

IPv6 NPT技术限制了原本在IPv4 NAT中1：N的地址翻译，只允许1:1的地址隐藏。NPT协议可以保证外部非授权用户无法直接对真实IPv6地址建立连接，同时避免IPv4下传统NAT阻断网络端到端的连通性、使IP溯源困难而产生的安全隐患。

3、IPv6无法解决的网络安全问题

IPv6作为网络的网络层协议，并不能解决所有的网络安全问题。比如：IPv6本身不能解决任何由于应用层漏洞所引发的攻击，包括：

应用层欺骗攻击；

恶意用户发起的攻击；

木马间谍类攻击；

漏洞或误用类攻击。

但是由于IPv6协议提供可靠的地址验证与溯源机制，可以在上述攻击发生后及时溯源处置，实现高效的信息安全治理。

4、华为的IPv6安全产品

1）华为安全产品中都有哪些型号支持IPv6特性？

华为下一代防火墙，IPS&IDS，安全接入网关，DDoS防御系统，WEB应用防火墙等产品都支持IPv6特性。

2）华为安全产品在IPv6方面有哪些优势？

华为作为主流和安全网关供应商，无论是对IPv6标准的引领，还是产品与解决方案的竞争力都是业界专业。华为在IPv6标准领域积累深厚，如IETFIPv6发布50篇RFC，已经是在IPv6领域成长最较快的IETF标准贡献厂家。

华为安全产品与解决方案，已全面支持端到端IPv6网络演进。华为下一代防火墙，DDoS防御系统，入侵防御等产品基于成熟稳定的VRP平台，获得国际通用的IPv6 Ready认证，具备全面的IPv6能力。既可以部署在纯IPv4或IPv6网络中，也可以部署在IPv4与IPv6共存的网络中，充分满足网络从IPv4向IPv6过渡的需求，使得用户侧应用与终端在无感知的情况下，实现从IPv4网络到IPv6网络的演进升级。

欲了解更多详情，请参阅华为官网：www.huawei.com

了解华为在企业市场的更多信息，请访问：http://enterprise.huawei.com

在新浪微博上关注@华为企业业务：http://weibo.com/hwenterprise

更多数字化转型故事，请访问：http://e.huawei.com/topic/leading-new-ict-cn

在微信公众号查找"华为企业业务中国"，或通过微信"扫一扫"功能扫描二维码进行添加：