聯想網御全力保障IPv6網絡安全
IPv6網絡時代已經到來,由于我國IPv4地址資源匱乏,除了采用CIDR、VLSM和DHCP技術緩解地址緊張問題,更多的是采用私有IP地址結合網絡地址轉換(NAT/PAT)技術來解決這個問題,從根本上看,互聯網可信度問題、端到端連接特性問題以及非強制IPSec加密而帶來的安全性等問題,使IPv4網絡面臨各種威脅,IPv6網絡的全面升級已勢在必行;與此同時,適應IPv6網絡的安全產品(例如防火墻、IPS、UTM、流控產品等)少之甚少,而IPv6安全解決方案幾乎為空白。聯想網御公司倡導"下一代網絡安全架構"先進性安全理念,掌握眾多核心技術,率先進入IPv6網絡安全時代。
一、 聯想網御VSP平臺完美支持IPv6技術
VSP(Versatile Security Platform)安全平臺是聯想網御公司自主創新的高性能實時系統平臺,通過將實時操作系統、網絡處理、安全應用等技術完美地結合,使聯想網御多款產品如防火墻、IPS、UTM、VPN等安全設備具備了高智能、高性能、高安全性、高健壯性、高擴展性等特點。與此同時,聯想網御多年來一直在研究IPv6技術的演進趨勢,并早在2005年就已投入IPv6在網絡信息安全的預研技術力量。經過幾年的深入研究與探索,聯想網御結合VSP平臺優勢,完美融合IPv6技術,已經支持IPv6環境下的狀態包過濾、靜態路由、OSPF動態路由、FTP ALG等基本安全業務,并支持 IPv6/v4 雙協議棧功能,設備在同一網絡中同時支持 IPv4 和IPv6協議,聯想網御VSP平臺針對IPv6的特點如下:
(1) Side-to-Side安全保證:在兩端主機上對報文進行IPSec封裝,中間安全網關設備實現對有IPSec擴展頭的IPv6報文進行透傳,實現端到端的安全;
(2) Inside安全保密:當內部主機與因特網上其他主機進行通信時,通過IPv6擴展頭中提供的路由頭和逐跳選項頭結合應用層網關技術來實現。實現方式更加靈活,完善內部網絡安全;
(3) Tunnel-Inside實現網絡安全:通過隧道嵌套的方式可以獲得多重的安全保護。當配置了IPSec的主機通過安全隧道接入到配置了IPSec網關的安全設備,并且該安全設備作為外部隧道的終結點將外部隧道封裝剝除時,嵌套的內部安全隧道就構成了對內部網絡的安全隔離,實現了隧道嵌套方式安全保護。
二、 聯想網御IPv6安全產品成功應用某高校
2008年8月,國家發改委在其網站上公布了下一代互聯網業務試商用及設備產業化專項的通知。通知指出:"為積極、穩妥推動我國下一代互聯網業務應用和產業發展,將組織實施下一代互聯網業務試商用及設備產業化專項"。按照CNGI項目規劃,CERNET2將接入100所以上的著名高校,開展科研應用和大規模IPv6網絡建設和部署實施的探索。隨著高校中IPv6網絡建設日趨完善,對IPv6網絡上的安全需求也日益迫切,支持IPv6的網絡安全產品(如防火墻、UTM、IPS等)日漸得到關注。聯想網御結合IPv6技術特點,及時推出IPv6高性能安全網關產品系列,在多所高校成功應用,保障了大學的IPv6網絡。
某市著名大學是一所具有90多年歷史的以工為主、工理經管文法結合、多科性協調發展的國家教育部直屬重點綜合性大學。學校現有專任教師2000余人,全日制在校生23000余人,該大學網絡特點和需求如下:
出口搭建的IPv6視頻服務器未受保護;
擁有兩個網絡出口,分別為500M的電信出口及教育網出口;
學校面臨的攻擊較多,主要受到的攻擊方式為ARP病毒攻擊和DDOS流量型攻擊;
IPv6網絡流量模型比較特殊:小包報文比例較大,單個用戶的并發連接數比較高、UDP報文在總流量中占比例較多等。
聯想網御針對大學網絡特點,設計開發了基于IPv6網絡安全的方案:
某高校IPv6應用拓撲
在出口處實施聯想網御多核萬兆安全網關,配置基于IPv6狀態包過濾策略,添加PCP端口策略,開啟抗攻擊模塊,開啟日志審計模塊,開啟SNMP協議;
通過全網監控,對IPv6網絡流量進行實時監控,使設備安全穩定運行。
三、下一代網絡技術藍圖
隨著IPv6網絡安全研究和遷移工作的深入,端到端的身份識別與數據加密將是對安全的全新挑戰,而IPv6安全領域技術的發展將進一步激發互聯網創新信息化社會的潛能,基于此,聯想網御公司提出了"構筑IPv6網絡云防御體系"的發展愿景,針對IPv6網絡建設和過渡時期的網絡安全風險的分析,提出了IPv6網絡安全保障體系的基本架構,并給出了現階段IPv6網絡安全體系的構建策略,通過靜態VSP系統平臺保障以及動態網關部署安全的結合,配套完善的安全組織和策略體系,提升IPv6網絡整體安全水平,達到網絡安全縱深防御的目標,形成安全可管可控可信的高安全IPv6網絡架構。
聯想網御將與產業同仁緊密合作,在IPv6過渡技術的探索和應用方面,共同推動下一代網絡安全解決方案的藍圖,早日實現互聯網向IPv6的遷移,支撐我國建立信息化的產業優勢。
【編輯推薦】
