博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
IPv6新形势下的安全解决方案
阅读量:5869 次
发布时间:2019-06-19

本文共 1363 字,大约阅读时间需要 4 分钟。

2017年底,国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,要求加快IPv6规模部署,在此形势下,网络架构、运维、安全等方面都遇到新的挑战。应用交付网络厂商F5中国总经理张毅强、CTO吴静涛等分享了他们对新形势的判断和解决方案。

F5是一家提供应用交付网络服务的厂商,其产品聚焦于负载均衡、安全、应用加速等方面,包括BIG-IP LTM等硬件产品,面向客户包括政府、金融、互联网等对安全性和稳定性要求高的行业。

目前,互联网技术面临着更新换代,网络技术也在发生巨大的变化,体现在:

  • 即将到来的5G的高带宽、高并发,导致开发者需要考虑硬件+软件,DC+云服务的融合,并采用多云服务,多云调度的高可用架构;
  • 随着IPv6的演进,在IPv4和IPv6融合的安全架构会是一个新的挑战,网络安全攻击的多样化,在防御侧需要进行架构升级以进行应对;
  • SSL everywhere和不同应用灰度需要不同的防护,开发者需要开始考虑SSL的系统编排。

IPv6相对于IPv4在安全方面的挑战,首当其冲是来自终端的改变,IPv4时代的终端大多数为个人计算机/智能设备,在IPv6时代,终端将扩展到物联网,如智能家居、汽车、各种传感器等。在以前我们只需要判断终端是人还是机器,现在我们要判断终端是“好”机器还是“坏”机器。

吴静涛表示:“IPv4的安全架构在IPv6环境和混合环境中需要提升,把网络、系统、运维、测试、研发整合在一起,通过产品+服务的方式把大数据采集、机器学习、智能极限、根因分析通过一键配置变更来实现分钟这个年纪的攻防转换。”

而从整体上,互联网安全形势越趋严峻,过去黑客不敢攻击的政府、央企、金融等行业成为黑客的目标。如2016年起,疑似“Anonymous”的黑客组织账号在推特上宣称要发动代号为“Oplcarus”的攻击,目的是击垮全球金融系统网站及相关服务。黑客的攻击手法也进行了升级,从以前的以天为单位切换攻击手段,到现在智能的分钟级切换,从单纯的攻击带宽到针对个别链路做精确打击,这些都会企业安全部门和第三方安全厂商提出挑战。

为了应对新的安全挑战,F5之前的基础上,提出了新的安全架构,其中重点在于南北分层和灰度流量精分。南北分层指的是,当流量请求到来时,首先经过电信运营商和CDN、云厂商在各个层面上的流量清洗,抵挡高流量的DDoS等类型的攻击;灰度流量精分指的则是针对流量做细致的识别和划分,如来自哪个App、哪个终端、哪个用户、甚至哪个应用版本,并针对每个访问链路做精确控制。这样,可以保证在攻击到来时第一时间感知和应对。

\"\"

(F5安全架构)

对于应用层的攻击防护,应用层防御功能一般包括协议识别、IPS、反病毒、URL过滤等,主要检测报文的应用层负载,几乎不受网络层协议IPv4/IPv6影响,因此,大部分传统IPv4协议下的应用层安全能力在IPv6网络中不受影响。但有少部分IPv4网络协议在IPv6网络下自身需要发生了变化,比如DNS协议升级到DNSv6,那么对应的应用层安全检测需要根据协议变化进行调整。

目前IPv6正在政府部门的推动下快速的大规模部署,可以预见我们在未来的一段时间内都将处于IPv4和IPv6的混合环境之下,如何做好新环境下的安全防护,也将是我们今后的重要课题。

转载地址:http://raxnx.baihongyu.com/

你可能感兴趣的文章
Centos 安装后不能上网 解决备忘
查看>>
cisco 交换机链路聚合
查看>>
[AX]AX2012 Form开发概览
查看>>
用几何画板画垂线的方法
查看>>
C++对象模型
查看>>
第九章 Python之面向对象
查看>>
Python标准库——getpass
查看>>
【转】一步一步学Linq to sql(三):增删改
查看>>
.net 的page的OnInit方法
查看>>
css公共样式
查看>>
Java之反转排序
查看>>
CDays–4 习题一至四及相关内容解析。
查看>>
12LaTeX学习系列之---LaTex的图片插入
查看>>
L3.十一.匿名函数和map方法
查看>>
js对文字进行编码涉及3个函数
查看>>
LeetCode 167. Two Sum II - Input array is sorted
查看>>
Python中read()、readline()和readlines()三者间的区别和用法
查看>>
openssl内核升级
查看>>
xp与win7双系统时删除win7启动菜单
查看>>
函数+装饰器+迭代器+生成器
查看>>