IPv6因地址空间巨大,在应对部分安全攻击方面具有天然优势,在可溯源性、反黑客嗅探能力、邻居发现协议、安全邻居发现协议以及端到端的IPSec安全传输能力等方面提升了网络安全性。
针对《推进互联网协议第六版(IPv6)规模部署行动计划》,华为安全给出了IPv6规模部署下网络安全防护的详尽解读,承接上期IPv6行业影响,本期聚焦IPv6安全技术。
可溯源性
IPv6巨大的地址空间为每个网络设备分配了一个独一无二的网络地址,不需要像在IPv4网络中通过NAT解决地址不足问题,从而有利于事后追查回溯,提高安全的保障性。
反黑客嗅探能力
由于庞大的IPv6地址,使得在IPv4网络中常常被黑客使用的嗅探扫描在IPv6网络中变得更加困难。
NDP & SEND
在IPv6中,ARP的功能被邻居发现协议(NDP)所代替。邻居发现协议通过发现链路上的其他节点,判断其他节点的地址,寻找可用路由。对比ARP, NDP仅在链路层实现,更加独立于传输介质。下一代互联网的安全邻居发现(SEND)协议通过独立于IPSec的另一种加密方式,保证了传输的安全性。
端到端IPSec安全传输能力
IPSec为IPv6网络中的每个节点提供了数据源认证、完整性和保密性的能力,实现端到端的安全加密。
Q1IPv6新增的安全特性与IPv4有什么区别?
IPv6网络的安全,由于仅是IP包头、寻址方式发生了变化,内置了端到端的安全机制,所以相对IPv4,在安全方面IPv6对当前的各种安全风险的防范并没有太大的提高。
Q2基于安全性考虑,IPv4网络使用NAT技术来隐藏内网IP地址,IPv6网络是否也需要类似技术来提升安全性?
IPv6的NPT(Network Prefix Translation)(RFC6296)协议可以实现与IPv4 NAT类似的功能,允许IPv6地址的1:1映射,达到隐藏内部IPv6地址的效果。
Q3对于应用层攻击,IPv6网络的防御手段和方式都有哪些影响?
应用层防御功能一般包括协议识别、IPS、反病毒、URL过滤等,主要检测报文的应用层负载,几乎不受网络层协议IPv4/IPv6影响,因此,大部分传统IPv4协议下的应用层安全能力在IPv6网络中不受影响。
但有少部分IPv4网络协议在IPv6网络下自身需要发生了变化,比如DNS协议升级到DNSv6,那么对应的应用层安全检测需要根据协议变化进行调整。
Q4IPv6在扩展头中增加了IPSec的端到端加密能力,如果应用开启了此项功能,那么网络安全设备该如何检测和防御加密流量?
一般情况下,网络安全设备无法解密IPSec加密流量,仅能基于IP地址来控制。但从目前的情况来看,这种“内嵌”的IPSec需要使用密钥分发技术,总体上并不成熟,管理成本高,另外,由于网络安全设备正常是无法解密IPSec流量,防火墙等网络安全设备就无法在网络&应用层来检测IPSec流量,从某种意义上,系统的安全性得不到完整的保证。对于一般企业应用,基于管理成本和安全性考虑,建议仍使用防火墙实现IPSec VPN加解密,并在网关位置进行IPS、状态防火墙等安全检查,待技术成熟后再部署端到端加密。
Q5SSL代理功能在IPv6协议下是否受到影响?
SSL代理不依赖于网络层的具体协议,仍可以对IPv6 SSL加密流量实现解密。
Q6对于IPv6网络,如何通过防火墙来实现安全策略管理,与IPv4的安全策略有何不同?
IPv6与IPv4的安全策略管控是一样的,仍需要基于ACL的五元组来逐条配置,仅是IPv6地址变长,使得策略配置更加复杂。
Q7在现有安全设备上开启IPv4/IPv6双栈功能后,在功能和性能上会对IPv4业务有何影响?
开启IPv4/IPv6双栈一般不会对安全设备的功能产生影响,主要影响设备的性能,因为IPv6协议栈会挤占IPv4业务的CPU和内存等资源,导致现有的IPv4业务在会话表容量、新建速率、吞吐率上会出现不同程度的下降。建议在升级/开启IPv4/IPv6双栈前评估现有安全设备的处理能力,必要时可以替换现有安全设备,避免影响现有IPv4业务。
好文章,需要你的鼓励
一加正式推出AI功能Plus Mind和Mind Space,将率先在一加13和13R上线。Plus Mind可保存、建议、存储和搜索屏幕内容,并将信息整理到Mind Space应用中。该功能可通过专用按键或手势激活,能自动创建日历条目并提供AI搜索功能。一加还计划推出三阶段AI战略,包括集成大语言模型和个人助手功能,同时将推出AI语音转录、通话助手和照片优化等工具。
北航团队推出Easy Dataset框架,通过直观的图形界面和角色驱动的生成方法,让普通用户能够轻松将各种格式文档转换为高质量的AI训练数据。该工具集成了智能文档解析、混合分块策略和个性化问答生成功能,在金融领域实验中显著提升了AI模型的专业表现,同时保持通用能力。项目已开源并获得超过9000颗GitHub星标。
预计到2035年,数据中心用电需求将增长一倍以上,达到440TWh,相当于整个加利福尼亚州的用电量。AI工作负载预计将占2030年数据中心需求的50-70%。传统冷却系统电机存在功率浪费问题,通常在30-50%负载下运行时效率急剧下降。采用高效率曲线平坦的适配电机可显著降低冷却系统功耗,某大型数据中心通过优化电机配置减少了近4MW冷却功耗,为13500台AI服务器腾出空间,年增收入900万美元。
卢森堡计算机事件响应中心开发的VLAI系统,基于RoBERTa模型,能够通过阅读漏洞描述自动判断危险等级。该系统在60万个真实漏洞数据上训练,准确率达82.8%,已集成到实际安全服务中。研究采用开源方式,为网络安全专家提供快速漏洞风险评估工具,有效解决了官方评分发布前的安全决策难题。