IPv6網(wǎng)絡(luò)時代已經(jīng)到來，由于我國IPv4地址資源匱乏，除了采用CIDR、VLSM和DHCP技術(shù)緩解地址緊張問題，更多的是采用私有IP地址結(jié)合網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT/PAT)技術(shù)來解決這個問題，從根本上看，互聯(lián)網(wǎng)可信度問題、端到端連接特性問題以及非強制IPSec加密而帶來的安全性等問題，使IPv4網(wǎng)絡(luò)面臨各種威脅，IPv6網(wǎng)絡(luò)的全面升級已勢在必行；與此同時，適應(yīng)IPv6網(wǎng)絡(luò)的安全產(chǎn)品（例如防火墻、IPS、UTM、流控產(chǎn)品等）少之甚少，而IPv6安全解決方案幾乎為空白。聯(lián)想網(wǎng)御公司倡導(dǎo)"下一代網(wǎng)絡(luò)安全架構(gòu)"先進性安全理念，掌握眾多核心技術(shù)，率先進入IPv6網(wǎng)絡(luò)安全時代。

一、 聯(lián)想網(wǎng)御VSP平臺完美支持IPv6技術(shù)

VSP（Versatile Security Platform）安全平臺是聯(lián)想網(wǎng)御公司自主創(chuàng)新的高性能實時系統(tǒng)平臺，通過將實時操作系統(tǒng)、網(wǎng)絡(luò)處理、安全應(yīng)用等技術(shù)完美地結(jié)合，使聯(lián)想網(wǎng)御多款產(chǎn)品如防火墻、IPS、UTM、VPN等安全設(shè)備具備了高智能、高性能、高安全性、高健壯性、高擴展性等特點。與此同時，聯(lián)想網(wǎng)御多年來一直在研究IPv6技術(shù)的演進趨勢，并早在2005年就已投入IPv6在網(wǎng)絡(luò)信息安全的預(yù)研技術(shù)力量。經(jīng)過幾年的深入研究與探索，聯(lián)想網(wǎng)御結(jié)合VSP平臺優(yōu)勢，完美融合IPv6技術(shù)，已經(jīng)支持IPv6環(huán)境下的狀態(tài)包過濾、靜態(tài)路由、OSPF動態(tài)路由、FTP ALG等基本安全業(yè)務(wù)，并支持 IPv6/v4 雙協(xié)議棧功能，設(shè)備在同一網(wǎng)絡(luò)中同時支持 IPv4 和IPv6協(xié)議，聯(lián)想網(wǎng)御VSP平臺針對IPv6的特點如下：

(1)　Side-to-Side安全保證：在兩端主機上對報文進行IPSec封裝，中間安全網(wǎng)關(guān)設(shè)備實現(xiàn)對有IPSec擴展頭的IPv6報文進行透傳，實現(xiàn)端到端的安全；

(2)　Inside安全保密：當(dāng)內(nèi)部主機與因特網(wǎng)上其他主機進行通信時，通過IPv6擴展頭中提供的路由頭和逐跳選項頭結(jié)合應(yīng)用層網(wǎng)關(guān)技術(shù)來實現(xiàn)。實現(xiàn)方式更加靈活，完善內(nèi)部網(wǎng)絡(luò)安全；

(3)　Tunnel-Inside實現(xiàn)網(wǎng)絡(luò)安全：通過隧道嵌套的方式可以獲得多重的安全保護。當(dāng)配置了IPSec的主機通過安全隧道接入到配置了IPSec網(wǎng)關(guān)的安全設(shè)備，并且該安全設(shè)備作為外部隧道的終結(jié)點將外部隧道封裝剝除時，嵌套的內(nèi)部安全隧道就構(gòu)成了對內(nèi)部網(wǎng)絡(luò)的安全隔離，實現(xiàn)了隧道嵌套方式安全保護。

二、 聯(lián)想網(wǎng)御IPv6安全產(chǎn)品成功應(yīng)用某高校

2008年8月，國家發(fā)改委在其網(wǎng)站上公布了下一代互聯(lián)網(wǎng)業(yè)務(wù)試商用及設(shè)備產(chǎn)業(yè)化專項的通知。通知指出："為積極、穩(wěn)妥推動我國下一代互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用和產(chǎn)業(yè)發(fā)展，將組織實施下一代互聯(lián)網(wǎng)業(yè)務(wù)試商用及設(shè)備產(chǎn)業(yè)化專項"。按照CNGI項目規(guī)劃，CERNET2將接入100所以上的著名高校，開展科研應(yīng)用和大規(guī)模IPv6網(wǎng)絡(luò)建設(shè)和部署實施的探索。隨著高校中IPv6網(wǎng)絡(luò)建設(shè)日趨完善，對IPv6網(wǎng)絡(luò)上的安全需求也日益迫切，支持IPv6的網(wǎng)絡(luò)安全產(chǎn)品（如防火墻、UTM、IPS等）日漸得到關(guān)注。聯(lián)想網(wǎng)御結(jié)合IPv6技術(shù)特點，及時推出IPv6高性能安全網(wǎng)關(guān)產(chǎn)品系列，在多所高校成功應(yīng)用，保障了大學(xué)的IPv6網(wǎng)絡(luò)。

某市著名大學(xué)是一所具有90多年歷史的以工為主、工理經(jīng)管文法結(jié)合、多科性協(xié)調(diào)發(fā)展的國家教育部直屬重點綜合性大學(xué)。學(xué)?，F(xiàn)有專任教師2000余人，全日制在校生23000余人，該大學(xué)網(wǎng)絡(luò)特點和需求如下：

出口搭建的IPv6視頻服務(wù)器未受保護；

擁有兩個網(wǎng)絡(luò)出口，分別為500M的電信出口及教育網(wǎng)出口；

學(xué)校面臨的攻擊較多，主要受到的攻擊方式為ARP病毒攻擊和DDOS流量型攻擊；

IPv6網(wǎng)絡(luò)流量模型比較特殊：小包報文比例較大，單個用戶的并發(fā)連接數(shù)比較高、UDP報文在總流量中占比例較多等。

聯(lián)想網(wǎng)御針對大學(xué)網(wǎng)絡(luò)特點，設(shè)計開發(fā)了基于IPv6網(wǎng)絡(luò)安全的方案：

某高校IPv6應(yīng)用拓撲

在出口處實施聯(lián)想網(wǎng)御多核萬兆安全網(wǎng)關(guān)，配置基于IPv6狀態(tài)包過濾策略，添加PCP端口策略，開啟抗攻擊模塊，開啟日志審計模塊，開啟SNMP協(xié)議；

通過全網(wǎng)監(jiān)控，對IPv6網(wǎng)絡(luò)流量進行實時監(jiān)控，使設(shè)備安全穩(wěn)定運行。

三、下一代網(wǎng)絡(luò)技術(shù)藍圖

隨著IPv6網(wǎng)絡(luò)安全研究和遷移工作的深入，端到端的身份識別與數(shù)據(jù)加密將是對安全的全新挑戰(zhàn)，而IPv6安全領(lǐng)域技術(shù)的發(fā)展將進一步激發(fā)互聯(lián)網(wǎng)創(chuàng)新信息化社會的潛能，基于此，聯(lián)想網(wǎng)御公司提出了"構(gòu)筑IPv6網(wǎng)絡(luò)云防御體系"的發(fā)展愿景，針對IPv6網(wǎng)絡(luò)建設(shè)和過渡時期的網(wǎng)絡(luò)安全風(fēng)險的分析，提出了IPv6網(wǎng)絡(luò)安全保障體系的基本架構(gòu)，并給出了現(xiàn)階段IPv6網(wǎng)絡(luò)安全體系的構(gòu)建策略，通過靜態(tài)VSP系統(tǒng)平臺保障以及動態(tài)網(wǎng)關(guān)部署安全的結(jié)合，配套完善的安全組織和策略體系，提升IPv6網(wǎng)絡(luò)整體安全水平，達到網(wǎng)絡(luò)安全縱深防御的目標，形成安全可管可控可信的高安全IPv6網(wǎng)絡(luò)架構(gòu)。

聯(lián)想網(wǎng)御將與產(chǎn)業(yè)同仁緊密合作，在IPv6過渡技術(shù)的探索和應(yīng)用方面，共同推動下一代網(wǎng)絡(luò)安全解決方案的藍圖，早日實現(xiàn)互聯(lián)網(wǎng)向IPv6的遷移，支撐我國建立信息化的產(chǎn)業(yè)優(yōu)勢。

【編輯推薦】

1. 聯(lián)想網(wǎng)御發(fā)現(xiàn)Adobe產(chǎn)品漏洞
2. 聯(lián)想網(wǎng)御:基于云安全的UTM系統(tǒng)
3. 聯(lián)想網(wǎng)御實名制網(wǎng)絡(luò)內(nèi)容審計解決方案
4. 聯(lián)想網(wǎng)御SSL VPN為江蘇郵政應(yīng)用提供完美支撐