限时领|《AI 百问百答》专栏课+实体书(包邮)! 了解详情
写点什么

IPv6 新形势下的安全解决方案

  • 2019-03-05
  • 本文字数:1295 字

    阅读完需:约 4 分钟

IPv6新形势下的安全解决方案

2017 年底,国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,要求加快 IPv6 规模部署,在此形势下,网络架构、运维、安全等方面都遇到新的挑战。应用交付网络厂商 F5 中国总经理张毅强、CTO 吴静涛等分享了他们对新形势的判断和解决方案。


F5 是一家提供应用交付网络服务的厂商,其产品聚焦于负载均衡、安全、应用加速等方面,包括 BIG-IP LTM 等硬件产品,面向客户包括政府、金融、互联网等对安全性和稳定性要求高的行业。


目前,互联网技术面临着更新换代,网络技术也在发生巨大的变化,体现在:


  • 即将到来的 5G 的高带宽、高并发,导致开发者需要考虑硬件+软件,DC+云服务的融合,并采用多云服务,多云调度的高可用架构;

  • 随着 IPv6 的演进,在 IPv4 和 IPv6 融合的安全架构会是一个新的挑战,网络安全攻击的多样化,在防御侧需要进行架构升级以进行应对;

  • SSL everywhere 和不同应用灰度需要不同的防护,开发者需要开始考虑 SSL 的系统编排。


IPv6 相对于 IPv4 在安全方面的挑战,首当其冲是来自终端的改变,IPv4 时代的终端大多数为个人计算机/智能设备,在 IPv6 时代,终端将扩展到物联网,如智能家居、汽车、各种传感器等。在以前我们只需要判断终端是人还是机器,现在我们要判断终端是“好”机器还是“坏”机器。


吴静涛表示:“IPv4 的安全架构在 IPv6 环境和混合环境中需要提升,把网络、系统、运维、测试、研发整合在一起,通过产品+服务的方式把大数据采集、机器学习、智能极限、根因分析通过一键配置变更来实现分钟这个年纪的攻防转换。”


而从整体上,互联网安全形势越趋严峻,过去黑客不敢攻击的政府、央企、金融等行业成为黑客的目标。如 2016 年起,疑似“Anonymous”的黑客组织账号在推特上宣称要发动代号为“Oplcarus”的攻击,目的是击垮全球金融系统网站及相关服务。黑客的攻击手法也进行了升级,从以前的以天为单位切换攻击手段,到现在智能的分钟级切换,从单纯的攻击带宽到针对个别链路做精确打击,这些都会企业安全部门和第三方安全厂商提出挑战。


为了应对新的安全挑战,F5 之前的基础上,提出了新的安全架构,其中重点在于南北分层和灰度流量精分。南北分层指的是,当流量请求到来时,首先经过电信运营商和 CDN、云厂商在各个层面上的流量清洗,抵挡高流量的 DDoS 等类型的攻击;灰度流量精分指的则是针对流量做细致的识别和划分,如来自哪个 App、哪个终端、哪个用户、甚至哪个应用版本,并针对每个访问链路做精确控制。这样,可以保证在攻击到来时第一时间感知和应对。



(F5 安全架构)


对于应用层的攻击防护,应用层防御功能一般包括协议识别、IPS、反病毒、URL 过滤等,主要检测报文的应用层负载,几乎不受网络层协议 IPv4/IPv6 影响,因此,大部分传统 IPv4 协议下的应用层安全能力在 IPv6 网络中不受影响。但有少部分 IPv4 网络协议在 IPv6 网络下自身需要发生了变化,比如 DNS 协议升级到 DNSv6,那么对应的应用层安全检测需要根据协议变化进行调整。


目前 IPv6 正在政府部门的推动下快速的大规模部署,可以预见我们在未来的一段时间内都将处于 IPv4 和 IPv6 的混合环境之下,如何做好新环境下的安全防护,也将是我们今后的重要课题。


2019-03-05 03:004881
用户头像

发布了 164 篇内容, 共 114.0 次阅读, 收获喜欢 392 次。

关注

评论

发布
暂无评论
发现更多内容

Packer 自动化镜像 Windows 安装过程

HoneyMoose

MySQL基础之六:连接查询

打工人!

myslq 6月日更

5分钟速读之Rust权威指南(十九)

wzx

rust 生命周期

阿里云边缘容器服务、申通 IoT 云边端架构入选 2021 云边协同发展阶段性领先成果

阿里巴巴云原生

云原生

缓存穿透、缓存雪崩、缓存击穿问题与优化方案

Skysper

数字化转型背景下的测试转型

BY林子

敏捷测试 测试转型

高性能 JavaScriptの七 -- 编程实践小技巧

空城机

JavaScript 大前端 6月日更

读深入ES6记[二]

蛋先生DX

ES6 6月日更

Java--JVM运行流程

是老郭啊

Java JVM JVM原理

这些书都学完,绝对是编程界的大佬

看山

Java 程序员 6月日更

SpringBootApplication注解

梦倚栏杆

当人工智能遇上视频直播——基于Agora Web SDK实现目标识别

dajyaretakuya

深度学习 音视频 WebRTC 声网 TensorFlow.js

【布道API】浅谈API设计风格

devpoint

Rest API 6月日更

Mybatis 二级缓存简单示例

Java mybatis

异构内存及其在机器学习系统的应用与优化

白玉兰开源

人工智能 机器学习 解决方案 第四范式 傲腾

spring-beans 注册 Beans(四)BeanDefinition

梦倚栏杆

Kubernetes手记(5)- 配置清单使用

雪雷

k8s 6月日更

你愿意被管理么?

escray

学习 极客时间 朱赟的技术管理课 6月日更

递归全排列问题(两种方法 Java实现)

若尘

数据结构 递归 6月日更

学妹问,学网站开发还是打 ACM?

程序员鱼皮

Java 程序员 算法 大前端 ACM

公司:离职就是一场危机管理

石云升

创业 职场经验 6月日更

做通才还是专才,你会怎么选?

架构精进之路

认知提升 6月日更

【21-1】21 连更第一篇

耳东@Erdong

6月日更

云原生推动全云开发与实践

阿里巴巴云原生

云原生

【Vue2.x 源码学习】第八篇 - 数组的深层劫持

Brave

源码 vue2 6月日更

Python——字符串转换与处理

在即

6月日更

Locust完成gRPC协议的性能测试

陈磊@Criss

操作系统内核是什么?Linux内核又是什么?读完这篇文章,我终于知道了

奔着腾讯去

c++ 操作系统 内存管理 Linux内核 进程管理

浅谈Java中的TCP超时

Hoswey_洪树伟

Java、

Python——输入输出:加减乘除四则运算的程序

在即

6月日更

【Flutter 专题】109 图解自定义 ACERadio 单选框

阿策小和尚

Flutter 小菜 0 基础学习 Flutter Android 小菜鸟 6月日更

IPv6新形势下的安全解决方案_安全_徐川_InfoQ精选文章