写点什么

IPv6 新形势下的安全解决方案

  • 2019-03-05
  • 本文字数:1295 字

    阅读完需:约 4 分钟

IPv6新形势下的安全解决方案

2017 年底,国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,要求加快 IPv6 规模部署,在此形势下,网络架构、运维、安全等方面都遇到新的挑战。应用交付网络厂商 F5 中国总经理张毅强、CTO 吴静涛等分享了他们对新形势的判断和解决方案。


F5 是一家提供应用交付网络服务的厂商,其产品聚焦于负载均衡、安全、应用加速等方面,包括 BIG-IP LTM 等硬件产品,面向客户包括政府、金融、互联网等对安全性和稳定性要求高的行业。


目前,互联网技术面临着更新换代,网络技术也在发生巨大的变化,体现在:


  • 即将到来的 5G 的高带宽、高并发,导致开发者需要考虑硬件+软件,DC+云服务的融合,并采用多云服务,多云调度的高可用架构;

  • 随着 IPv6 的演进,在 IPv4 和 IPv6 融合的安全架构会是一个新的挑战,网络安全攻击的多样化,在防御侧需要进行架构升级以进行应对;

  • SSL everywhere 和不同应用灰度需要不同的防护,开发者需要开始考虑 SSL 的系统编排。


IPv6 相对于 IPv4 在安全方面的挑战,首当其冲是来自终端的改变,IPv4 时代的终端大多数为个人计算机/智能设备,在 IPv6 时代,终端将扩展到物联网,如智能家居、汽车、各种传感器等。在以前我们只需要判断终端是人还是机器,现在我们要判断终端是“好”机器还是“坏”机器。


吴静涛表示:“IPv4 的安全架构在 IPv6 环境和混合环境中需要提升,把网络、系统、运维、测试、研发整合在一起,通过产品+服务的方式把大数据采集、机器学习、智能极限、根因分析通过一键配置变更来实现分钟这个年纪的攻防转换。”


而从整体上,互联网安全形势越趋严峻,过去黑客不敢攻击的政府、央企、金融等行业成为黑客的目标。如 2016 年起,疑似“Anonymous”的黑客组织账号在推特上宣称要发动代号为“Oplcarus”的攻击,目的是击垮全球金融系统网站及相关服务。黑客的攻击手法也进行了升级,从以前的以天为单位切换攻击手段,到现在智能的分钟级切换,从单纯的攻击带宽到针对个别链路做精确打击,这些都会企业安全部门和第三方安全厂商提出挑战。


为了应对新的安全挑战,F5 之前的基础上,提出了新的安全架构,其中重点在于南北分层和灰度流量精分。南北分层指的是,当流量请求到来时,首先经过电信运营商和 CDN、云厂商在各个层面上的流量清洗,抵挡高流量的 DDoS 等类型的攻击;灰度流量精分指的则是针对流量做细致的识别和划分,如来自哪个 App、哪个终端、哪个用户、甚至哪个应用版本,并针对每个访问链路做精确控制。这样,可以保证在攻击到来时第一时间感知和应对。



(F5 安全架构)


对于应用层的攻击防护,应用层防御功能一般包括协议识别、IPS、反病毒、URL 过滤等,主要检测报文的应用层负载,几乎不受网络层协议 IPv4/IPv6 影响,因此,大部分传统 IPv4 协议下的应用层安全能力在 IPv6 网络中不受影响。但有少部分 IPv4 网络协议在 IPv6 网络下自身需要发生了变化,比如 DNS 协议升级到 DNSv6,那么对应的应用层安全检测需要根据协议变化进行调整。


目前 IPv6 正在政府部门的推动下快速的大规模部署,可以预见我们在未来的一段时间内都将处于 IPv4 和 IPv6 的混合环境之下,如何做好新环境下的安全防护,也将是我们今后的重要课题。


2019-03-05 03:004873
用户头像

发布了 164 篇内容, 共 113.8 次阅读, 收获喜欢 392 次。

关注

评论

发布
暂无评论
发现更多内容

Java实战:教你如何进行数据库分库分表

华为云开发者联盟

Java 数据库 分布式 分库 分表

4问教你搞定java中的ThreadLocal

华为云开发者联盟

Java 线程 多线程 ThreadLocal 变量

就想搞明白,component-scan 是怎么把Bean都注册到Spring容器的!

小傅哥

Java spring 小傅哥 bean注册

第三届WICC圆满结束 融云打造技术与生态平台推动产业发展

融云 RongCloud

架构实战营模块三作业

袁小芬

中国高校竟然有两个“智能”专业?

脑极体

在线MarkDown转HTML工具

入门小站

没怎么写过 Java 的遗憾

escray

学习 极客时间 朱赟的技术管理课 7月日更

如何实现支持百亿级文件的分布式文件存储

焱融科技

云计算 云原生 高性能 分布式存储 海量存储

Go语言:代码检查和优化!

微客鸟窝

Go 语言

模块三作业

Tina

Linux之kill命令

入门小站

Linux

架构实战营 - 模块三作业: 架构文档

Julian Chu

架构实战营

架构实战营 模块三 作业

脉醉

#架构实战营

架构实战营 模块三作业

孫影

架构实战营 #架构实战营

零代码平台在大型企业的进化之路

明道云

Go语言:RESTful API 服务,急速入门

微客鸟窝

Go 语言

takin(全链路压测)快速安装-mac图文版

国隆

大数据 性能压测 生产环境全链路压测 takin 探针

Python OpenCV 轮廓检测与轮廓特征,加图像金字塔知识补充一点点

梦想橡皮擦

Python 7月日更

我花了 24 天使用 C++ 从零实现了一个解释器

lmymirror

interpreter compiler

架构实战营 模块 3作业 - 消息队列架构设计文档

Geek_8c5f9c

架构师训练

Vue深入学习1—mustache模板引擎原理

魁首

Vue 3

Win10系统下基于Docker构建Appium容器连接Android模拟器Genymotion完成移动端Python自动化测试

刘悦的技术博客

Python Docker 自动化 自动化测试 Genymotion

记一次小有成就的代码审计

网络安全学海

网络安全 信息安全 渗透测试 安全漏洞 代码审计

字节跳动内测音乐流媒体服务:能否在音乐领域分一杯羹

石头IT视角

模块三作业

秀聪

架构训练营

毕业设计:设计电商秒杀系统

张大彪

【学习笔记】:使用Chrome浏览器的网络面板分析http请求

姬翔

架构训练营-学生管理系统详细架构文档

sophiahuxh

来也科技:RPA+AI的赋能者和布道者

海比研究院

通过运行期类型检查实现泛型算法

喵叔

7月日更

IPv6新形势下的安全解决方案_安全_徐川_InfoQ精选文章