首页>>中心动态

华为安全为高校下一代IPv6网络随时待命

来源: 作者: 点击量: 时间:2013-08-30

2012年3月,根据党中央、国务院关于从战略高度重视下一代互联网发展的精神,发改委、工信部等七部委联合下发了《下一代互联网“十二五”发展建设的意见》,从国家政策层面推动加速我国IPv6下一代互联网发展,明确提出现网商用试点阶段(2013 年底前),开展IPv6 网络小规模商用试点,形成成熟的商业模式和技术演进路线。并且强调中国教育网(CERNET)和中国科技网(CSTNET)全部支持IPv6,“211”工程学校外网网站系统全部满足IPv6访问。
    从2003年我国已经开始组织实施基于IPv6的下一代互联网应用示范工程(CNGI),由教育部管理的全国学术网络第二代中国教育和科研计算机网CERNET2是CNGI项目的重要组成,也是目前全球最大的IPv6单栈网络,覆盖了清华大学、北京大学、同济大学等全国上百所高校,IPv6用户规模超过200万。然而如何解决IPv6安全问题便成为高校网络下一阶段新的挑战。正如下一代互联网“十二五”发展建设的意见》明确提出的,要求加强网络与信息安全保障工作,全面提升下一代互联网安全性和可信性。
    当前的校园网已经存在很多安全问题,包括各种网络攻击与入侵、病毒泛滥、僵尸主机等等,校园网在部署、使用IPv4与IPv6双栈网络之后,那么势必面临IPv4与IPv6双重威胁和隐患,在享受双栈资源的同时,也潜在的为安全风险打开了两条道路。由于IPv4与IPv6网络的主要区别是在于所使用的基础IP承载协议不同,而应用层的各种业务与功能并没有进行任何改变,于是针对应用层的攻击、入侵、病毒以及安全风险出现、发生的条件和概率与IPv4网络并无较大差异。因此,即便是校园网的IPv4安全防护措施能够做到天衣无缝,此时如果无任何IPv6安全部署,就如同只关闭了家中的前门,而后门的疏漏却给窃贼留下了可称之机。
    此外,高校IPv6网络除了要达到IPv4网络安全防护能力之外,在IPv4向IPv6的演进过程中,还需要特别注意各种过渡技术与方案的安全隐患。由于在共存时期,IPv4网络与IPv6网络同时存在,且有互通需求,这就要求来自两种不同IP协议网络的威胁不能够交叉感染。对于所选择部署的各种主流过渡技术(隧道和翻译技术),由于尚无成熟的使用经验,因此很可能也会存在潜在的安全风险。
    隧道技术是对报文进行一层封装。隧道报文在经过防火墙等网络安全设备时,如果需要被检查与过滤,那网络安全技术就得支持各种新的隧道协议,能够对隧道进行解封装,而后才能对内嵌报文进行处理。在建立各种隧道的时候,对隧道对端的认证也就十分必要,否则,所建立的隧道就不可靠,会被黑客和攻击者利用,成为进入校园网的通路。而在利用翻译技术将IPv6与IPv4网络进行互联互通时,如IVI和NAT64技术,要改变报文的IP层及传输层的相关信息,这样会对端到端的安全产生影响。同时,翻译设备作为网络互通的关键节点,会成为DDoS攻击的主要目标,一旦自身的IPv4公网地址资源被恶意消耗,将影响校园网的正常运行。
    对于CNGI及CERNET2网络建设,华为公司一直参与其中,已经部署了一定规模的IPv6路由器和交换机。在网络安全上,从2008年开始华为公司就投入IPv6防火墙等设备的预研和研发,为IPv6下一代互联网的商用做了充分准备。2010年,华为USG9000系列安全网关成为国内首个获得IPv6 Ready金牌第二阶段增强认证的安全产品,具备了IPv4与IPv6双栈防火墙功能,即使同时开启双栈防护也不会对性能造成任何损失。由于支持了多种主流的IPv6过渡技术,USG9000系列安全网关可以对通过隧道封装的报文进行拆解,对内、外层进行两次检查,确认合法性后再进行转发。并且,USG9000系列安全网关能够提供IPv6 DDoS攻击防范能力,可以避免自身成为DDoS攻击的目标,进一步保证了用户网络和业务的稳定。除了与IPv4下类似的安全功能外,USG9000系列安全网关还支持如CGA、SEND等IPv6特有的安全机制,已经完全能够满足商用部署的主要需求。
    近两年,华为公司陆续承接了发改委2012国家下一代互联网信息安全专项、IPv6信息安全专项等国家项目,加强下一代高性能防火墙、高性能入侵防御系统、高性能VPN设备、高性能统一威胁管理系统的研发和产品化能力,更好的发展自主知识产权,保障国家网络信息安全。同时,由于中国信息安全测评中心、公安部计算机信息系统安全产品质量监督检验中心等权威机构联合主导的2012年国家下一代互联网信息安全专项项目产品测试情况于2013年初公布,华为USG9000系列安全网关位列其中。
    特别是,USG9000系列安全网关在国内多所高校出口部署并且稳定运行多年,对于IPv6安全能力,作为教育网主节点的国内某知名大学已经成功在其校园网进行了验证测试。在我国IPv6下一代互联网加速规模商用部署的环境下,华为USG9000系列高性能安全网关满足了IPv6安全与IPv6过渡的双重需求,为教育网发展以及我国下一代互联网建设奠定了坚实基础。

友情链接

FriendLink