信息来源:比特网 更新时间:2013-06-04 18:44 浏览次数:6301
我国下一代互联网商用部署进程近期提速,今年将推动出台IPv6配套政策,同时鼓励运营商和互联网服务提供商全面进行下一代互联网改造,并加快商用进程。
IPv6作为一项解决当下IPv4地址匮乏危机的下一代互联网技术,有望突破长期以来“地址资源干涸”的困局,同时将开启国内超过2000亿元的市场规模。而另一方面,全方位融合IPv6特性的下一代互联网,也带来了“下一代信息安全”的防护问题。
日前,在锐捷网络联合我国信息安全领域多位专家召开的“筑梦下一代互联网安全”专家研讨会上,与会人员共同对我国下一代互联网和IPv6的安全问题进行了深入探讨,为IPv6安全困局的破冰前行开辟了一条新的思路。
IPv6为何“西冷东热”
2010年,中国移动、中国电信、中国联通一共申请到了4500万个IPv4地址,当年排名世界第一。然而这根本追不上中国互联网用户的成长速度,不到3年时间,三大运营商就宣告了IPv4地址都将正式告罄的消息。
如今,三大运营商已完成海量IPv6地址的申请,而我国目前已拥有的IPv6地址数量排名,从第32位跃居至世界第3位,在全球已分配的IPv6地址中占据11.58%。同时,国家发改委在预期工作中也表明,IPv6落地时间已经离我们越来越近。然而,与我国的积极推进相比,西方欧美国家却显得“消极怠工”了许多。
对于这种“西冷东热”的现象,我国著名信息安全专家宁家骏认为,由于欧美现阶段仍拥有足够的IPv4,因此并不急于IPv6的落地。所以从这个角度讲,我国着力推进IPv6的发展并不是“给别人做嫁衣”,而是率先将核心技术自主,掌握下一代互联网主动权的问题。
中国工程院院士沈昌祥在会上也表示:我国在IPv4向IPv6过渡的过程中处在“先行者”的角色,从政府到企业都面临着很多信息安全的挑战。在实际部署中,用户所面临的IPv6迁移难度是十分大的,随着IPv6规模化、商用化的进程加速,解决好IPv6的安全问题,将是下一代互联网应用成功拓展的关键。
IPv6的安全“漏洞”
提到下一代互联网和IPv6,很多人认为“安全性”就是其一大优势。的确,IPv6解决了很多IPv4难以解决的安全问题,但另一方面,它又引进了新的安全风险。
首先,从IPv6和IPv4各自提供的服务对比中,我们就能够发现,IPv4的设备并不具备一些IPv6“新防护”的特性与功能,这就造成了网络迁移过程中的安全隐患。
其次,IPv6点对点的加密和数据包天生具备的灵活性,会使得传统防火墙无从应对,从而使得互联网监管和审计工作深陷泥潭。此外,在IPv6地址无限、接入终端无限的特殊环境下,超大流量洪峰也会冲击传统防火墙吞吐设计的极限。
IPv6的安全“漏洞”还体现在网络的管理上,许多IT专业人士对IPv6安全技术细则并没有深刻的理解,但他们的网络上已经出现IPv6流量和设备。在还没有部署任何IPv6安全控件的情况下,这种做法无疑是对攻击者敞开了大门。
另外,由于欧美等西方国家对IPv6落地的“消极”,也从一定程度上“扩大了”安全漏洞。信息安全的“补丁”发布就是一个有力的证明。时至今日,有关IPv4的漏洞补丁众多并且不断更新,但针对IPv6漏洞的补丁却很少见,这一现象并不意味着IPv6真的在安全上“天衣无缝”,恰恰相反,由于掌握操作系统和芯片核心技术的欧美国家在 IPv6的应用需求上放缓,即使有漏洞也并不着急“打补丁”,更加剧了下一代互联网的安全问题。那么,这些缺失的安全补丁由“谁”来打呢?
国产化是安全产业链条最重要的“补丁”
在下一代互联网建设中占据核心地位的IPv6,其安全问题却面临着众多的挑战和困局,整个产业链似乎并没有为IPv6全面商用做好准备 ,但产业发展的步伐却已经迫在眉睫。
IPv6产业涉及基础网络、终端、软件、操作系统、芯片等多个环节,任一环节存在短板,都可能使整体产业难以发展,更何况是最重要的安全环节。因此,在下一代互联网的产业链里面,只有通过自主可控的安全设备,为IPv6打补丁。
锐捷网络安全产品总监王福光认为:国家非常重视下一代互联网产业链的整体建设,对信息化建设者提出了殷切希望,而锐捷网络也对中国下一代互联网示范工程(CNGI)等国家级重点网络建设工程提供了全面的技术支持。
IPv6将是我们在互联时代实现竞争超越的一大基石,而产业链的支撑能力是决定一项新技术商用进程的决定因素。所以,根据国内的实际应用情况,只有国产化这一条出路才能完成超越,也只有国产化才是整个产业链条最重要、最牢靠的“补丁”。
“简安全”:筑梦下一代互联网安全
为应对在下一代互联网中复杂多变的安全威胁,特别是IPv6落地带来的安全挑战。锐捷网络推出了“简系列”安全产品,从网络、应用、终端、管理等不同维度入手,让安全防护变得轻松简单。
在基础网络层面,锐捷网络通过自主开发的RGOS和独创的HiSpeed算法,将32核体系架构的RG-WALL防火墙产品的性能发挥到极致。由于不受策略数和会话数多少的影响,锐捷网络的RG-WALL 1600-XDC甚至可以“以一抵三”,替代3台100G传统防火墙,真正实现了防火墙性能上的跨越式突破。另外,RG-WALL防火墙可以与身份认证系统对接,在“20秒内”即可实现一体化策略配置,让安全管理简单而又高效。
在终端接入层面,锐捷网络的下一代SSL VPN产品,通过VPN与虚拟化融合技术可以为远程接入用户提供安全和高速的访问,这包括:深度隔离业务资源、拦截外发数据、远程清除机密信息等等。有别于其他厂商的虚拟桌面技术,锐捷可以控制每个虚拟化用户进程界面的权限,将外设访问权限控制应用系统分发到广域网中。
在网站应用层面,为了解决各大企事业网站从 IPv4向IPv6迁移和开发成本过大的问题,锐捷网络推出的RG-WebGuard具备了初次运行“零配置”的特点。凭借业内独创的“三点击”配置与易迁移特性,快速解决网站安全管理异常复杂的痼疾,解决了IPv4网站向IPv6迁移中的难题。
在管理与审计层面,为了应对移动互联网和BYOD全面普及所带来的审计难题,锐捷网络在RG-UAC产品中,增加了Wi-Fi审计的功能,通过识别操作系统、定位使用位置、关联到设备持有者等一系列的自动操作,全面防止了智能终端病毒定位和数据泄露的风险。
下一代互联网的到来“只差一步”,而关键的一步就是“安全”。所以,只有数据信息的流转可靠、可查、可管、可控,才能让用户放心的体验“夜不闭户,路不拾遗”安全网络,才能让下一代互联网真正成为我们实现“中国梦”的重要推动力。
编辑:红烧鱼