2012年3月,根據(jù)黨中央、國(guó)務(wù)院關(guān)于從戰(zhàn)略高度重視下一代互聯(lián)網(wǎng)發(fā)展的精神,發(fā)改委、工信部等七部委聯(lián)合下發(fā)了《下一代互聯(lián)網(wǎng)“十二五”發(fā)展建設(shè)的意見》,從國(guó)家政策層面推動(dòng)加速我國(guó)IPv6下一代互聯(lián)網(wǎng)發(fā)展,明確提出現(xiàn)網(wǎng)商用試點(diǎn)階段(2013 年底前),開展IPv6 網(wǎng)絡(luò)小規(guī)模商用試點(diǎn),形成成熟的商業(yè)模式和技術(shù)演進(jìn)路線。并且強(qiáng)調(diào)中國(guó)教育網(wǎng)(CERNET)和中國(guó)科技網(wǎng)(CSTNET)全部支持IPv6,“211”工程學(xué)校外網(wǎng)網(wǎng)站系統(tǒng)全部滿足IPv6訪問。
從2003年我國(guó)已經(jīng)開始組織實(shí)施基于IPv6的下一代互聯(lián)網(wǎng)應(yīng)用示范工程(CNGI),由教育部管理的全國(guó)學(xué)術(shù)網(wǎng)絡(luò)第二代中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERNET2是CNGI項(xiàng)目的重要組成,也是目前全球最大的IPv6單棧網(wǎng)絡(luò),覆蓋了清華大學(xué)、北京大學(xué)、同濟(jì)大學(xué)等全國(guó)上百所高校,IPv6用戶規(guī)模超過200萬。然而如何解決IPv6安全問題便成為高校網(wǎng)絡(luò)下一階段新的挑戰(zhàn)。正如下一代互聯(lián)網(wǎng)“十二五”發(fā)展建設(shè)的意見》明確提出的,要求加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作,全面提升下一代互聯(lián)網(wǎng)安全性和可信性。
當(dāng)前的校園網(wǎng)已經(jīng)存在很多安全問題,包括各種網(wǎng)絡(luò)攻擊與入侵、病毒泛濫、僵尸主機(jī)等等,校園網(wǎng)在部署、使用IPv4與IPv6雙棧網(wǎng)絡(luò)之后,那么勢(shì)必面臨IPv4與IPv6雙重威脅和隱患,在享受雙棧資源的同時(shí),也潛在的為安全風(fēng)險(xiǎn)打開了兩條道路。由于IPv4與IPv6網(wǎng)絡(luò)的主要區(qū)別是在于所使用的基礎(chǔ)IP承載協(xié)議不同,而應(yīng)用層的各種業(yè)務(wù)與功能并沒有進(jìn)行任何改變,于是針對(duì)應(yīng)用層的攻擊、入侵、病毒以及安全風(fēng)險(xiǎn)出現(xiàn)、發(fā)生的條件和概率與IPv4網(wǎng)絡(luò)并無較大差異。因此,即便是校園網(wǎng)的IPv4安全防護(hù)措施能夠做到天衣無縫,此時(shí)如果無任何IPv6安全部署,就如同只關(guān)閉了家中的前門,而后門的疏漏卻給竊賊留下了可稱之機(jī)。
此外,高校IPv6網(wǎng)絡(luò)除了要達(dá)到IPv4網(wǎng)絡(luò)安全防護(hù)能力之外,在IPv4向IPv6的演進(jìn)過程中,還需要特別注意各種過渡技術(shù)與方案的安全隱患。由于在共存時(shí)期,IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)同時(shí)存在,且有互通需求,這就要求來自兩種不同IP協(xié)議網(wǎng)絡(luò)的威脅不能夠交叉感染。對(duì)于所選擇部署的各種主流過渡技術(shù)(隧道和翻譯技術(shù)),由于尚無成熟的使用經(jīng)驗(yàn),因此很可能也會(huì)存在潛在的安全風(fēng)險(xiǎn)。
隧道技術(shù)是對(duì)報(bào)文進(jìn)行一層封裝。隧道報(bào)文在經(jīng)過防火墻等網(wǎng)絡(luò)安全設(shè)備時(shí),如果需要被檢查與過濾,那網(wǎng)絡(luò)安全技術(shù)就得支持各種新的隧道協(xié)議,能夠?qū)λ淼肋M(jìn)行解封裝,而后才能對(duì)內(nèi)嵌報(bào)文進(jìn)行處理。在建立各種隧道的時(shí)候,對(duì)隧道對(duì)端的認(rèn)證也就十分必要,否則,所建立的隧道就不可靠,會(huì)被黑客和攻擊者利用,成為進(jìn)入校園網(wǎng)的通路。而在利用翻譯技術(shù)將IPv6與IPv4網(wǎng)絡(luò)進(jìn)行互聯(lián)互通時(shí),如IVI和NAT64技術(shù),要改變報(bào)文的IP層及傳輸層的相關(guān)信息,這樣會(huì)對(duì)端到端的安全產(chǎn)生影響。同時(shí),翻譯設(shè)備作為網(wǎng)絡(luò)互通的關(guān)鍵節(jié)點(diǎn),會(huì)成為DDoS攻擊的主要目標(biāo),一旦自身的IPv4公網(wǎng)地址資源被惡意消耗,將影響校園網(wǎng)的正常運(yùn)行。
對(duì)于CNGI及CERNET2網(wǎng)絡(luò)建設(shè),華為公司一直參與其中,已經(jīng)部署了一定規(guī)模的IPv6路由器和交換機(jī)。在網(wǎng)絡(luò)安全上,從2008年開始華為公司就投入IPv6防火墻等設(shè)備的預(yù)研和研發(fā),為IPv6下一代互聯(lián)網(wǎng)的商用做了充分準(zhǔn)備。2010年,華為USG9000系列安全網(wǎng)關(guān)成為國(guó)內(nèi)首個(gè)獲得IPv6Ready金牌第二階段增強(qiáng)認(rèn)證的安全產(chǎn)品,具備了IPv4與IPv6雙棧防火墻功能,即使同時(shí)開啟雙棧防護(hù)也不會(huì)對(duì)性能造成任何損失。由于支持了多種主流的IPv6過渡技術(shù),USG9000系列安全網(wǎng)關(guān)可以對(duì)通過隧道封裝的報(bào)文進(jìn)行拆解,對(duì)內(nèi)、外層進(jìn)行兩次檢查,確認(rèn)合法性后再進(jìn)行轉(zhuǎn)發(fā)。并且,USG9000系列安全網(wǎng)關(guān)能夠提供IPv6DDoS攻擊防范能力,可以避免自身成為DDoS攻擊的目標(biāo),進(jìn)一步保證了用戶網(wǎng)絡(luò)和業(yè)務(wù)的穩(wěn)定。除了與IPv4下類似的安全功能外,USG9000系列安全網(wǎng)關(guān)還支持如CGA、SEND等IPv6特有的安全機(jī)制,已經(jīng)完全能夠滿足商用部署的主要需求。
近兩年,華為公司陸續(xù)承接了發(fā)改委2012國(guó)家下一代互聯(lián)網(wǎng)信息安全專項(xiàng)、IPv6信息安全專項(xiàng)等國(guó)家項(xiàng)目,加強(qiáng)下一代高性能防火墻、高性能入侵防御系統(tǒng)、高性能VPN設(shè)備、高性能統(tǒng)一威脅管理系統(tǒng)的研發(fā)和產(chǎn)品化能力,更好的發(fā)展自主知識(shí)產(chǎn)權(quán),保障國(guó)家網(wǎng)絡(luò)信息安全。同時(shí),由于中國(guó)信息安全測(cè)評(píng)中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心等權(quán)威機(jī)構(gòu)聯(lián)合主導(dǎo)的2012年國(guó)家下一代互聯(lián)網(wǎng)信息安全專項(xiàng)項(xiàng)目產(chǎn)品測(cè)試情況于2013年初公布,華為USG9000系列安全網(wǎng)關(guān)位列其中。
特別是,USG9000系列安全網(wǎng)關(guān)在國(guó)內(nèi)多所高校出口部署并且穩(wěn)定運(yùn)行多年,對(duì)于IPv6安全能力,作為教育網(wǎng)主節(jié)點(diǎn)的國(guó)內(nèi)某知名大學(xué)已經(jīng)成功在其校園網(wǎng)進(jìn)行了驗(yàn)證測(cè)試。在我國(guó)IPv6下一代互聯(lián)網(wǎng)加速規(guī)模商用部署的環(huán)境下,華為USG9000系列高性能安全網(wǎng)關(guān)滿足了IPv6安全與IPv6過渡的雙重需求,為教育網(wǎng)發(fā)展以及我國(guó)下一代互聯(lián)網(wǎng)建設(shè)奠定了堅(jiān)實(shí)基礎(chǔ)。