◆高浪 馬崢

IPv6環(huán)境下校園網(wǎng)安全防護技術(shù)研究與應(yīng)用

◆高浪 馬崢

（中國地質(zhì)大學(xué)（武漢）信息化工作辦公室 湖北 430074）

隨著近年來高校IPv6網(wǎng)絡(luò)建設(shè)快速發(fā)展，各高校圍繞校園網(wǎng)IPv6部署、IPv6應(yīng)用資源建設(shè)、雙棧協(xié)議轉(zhuǎn)換、IPv6與物聯(lián)網(wǎng)5G網(wǎng)絡(luò)融合等方面開展了一系列工作。IPv6環(huán)境下的網(wǎng)絡(luò)安全問題也得到日益關(guān)注。本文以IPv6環(huán)境下校園網(wǎng)安全防護技術(shù)為研究對象，介紹了高校面臨的網(wǎng)絡(luò)安全威脅現(xiàn)狀，分析當前IPv6安全防護技術(shù)，并結(jié)合高校實際環(huán)境探索了高校場景下相關(guān)技術(shù)的應(yīng)用。

網(wǎng)絡(luò)安全；IPv6；校園網(wǎng)；安全防護

隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)4.0等新興產(chǎn)業(yè)迅速發(fā)展，現(xiàn)今互聯(lián)網(wǎng)（IPv4）地址已分配殆盡，而下一代互聯(lián)網(wǎng)（IPv6）擁有128位的IP地址長度，廣闊的網(wǎng)絡(luò)地址空間完全滿足發(fā)展需要。

IPv6經(jīng)過二十多年的發(fā)展，目前IPv6技術(shù)應(yīng)用完全成熟，已經(jīng)成為全球通用標準，具備較高的機密性和完整性。

1 校園網(wǎng)IPv6發(fā)展現(xiàn)狀

教育部于2018年年底印發(fā)了《關(guān)于貫徹落實《推進互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》的通知》，通知就加快教育系統(tǒng)推進IPv6 基礎(chǔ)網(wǎng)絡(luò)設(shè)施規(guī)模部署和應(yīng)用系統(tǒng)升級，促進下一代互聯(lián)網(wǎng)與教育的融合創(chuàng)新，推進IPv6 規(guī)模部署的實施等工作提出了具體要求。

根據(jù)教育部2021年3月發(fā)布的《高等學(xué)校數(shù)字校園建設(shè)規(guī)范（試行）》要求，高校校園主干網(wǎng)應(yīng)支持IPv4和IPv6雙棧部署，數(shù)據(jù)中心應(yīng)支持IPv4和IPv6雙棧運行。將IPv6建設(shè)納入規(guī)范是國家IPv6發(fā)展戰(zhàn)略的要求，也是高等學(xué)校數(shù)字校園建設(shè)的實際需要。

當前各高校校園網(wǎng)基本已完成IPv6部署。校園網(wǎng)核心網(wǎng)絡(luò)、出口網(wǎng)絡(luò)、匯聚網(wǎng)絡(luò)、接入網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)、物聯(lián)網(wǎng)全面支持IPv4和IPv6雙棧運行。校園部分區(qū)域試點部署了純IPv6網(wǎng)絡(luò)環(huán)境。校園網(wǎng)全面支持IPv6用戶終端接入。學(xué)校門戶網(wǎng)站、線上學(xué)習(xí)資源和重要信息系統(tǒng)均全面支持IPv6訪問。

隨著IPv6技術(shù)的快速普及和大規(guī)模的使用，IPv6的網(wǎng)絡(luò)攻擊數(shù)目也呈逐步增長的趨勢，一些新型的攻擊方式也逐漸出現(xiàn)?；贗Pv6安全的研究相對起步較晚，各種安全防護設(shè)備應(yīng)對IPv6網(wǎng)絡(luò)攻擊的經(jīng)驗和能力尚未經(jīng)過市場的大面積檢驗。這些給校園網(wǎng)的安全工作提出了更高要求。

2 IPv6帶來的安全挑戰(zhàn)

當前IPv6網(wǎng)絡(luò)給高校網(wǎng)絡(luò)安全工作帶來的挑戰(zhàn)。具體表現(xiàn)以下幾個方面：

2.1 IPv6網(wǎng)絡(luò)設(shè)計

IPv6網(wǎng)絡(luò)規(guī)劃設(shè)計的同時需要同步做好安全建設(shè)。主要涉及網(wǎng)絡(luò)設(shè)備的IPv6安全配置、IPv6地址規(guī)劃和使用分配、IPv6的路由設(shè)計、IPv6訪問控制、IPv6安全策略、IPv6環(huán)境下的DDoS防護等

2.2 安全產(chǎn)品的IPv6升級

校園網(wǎng)內(nèi)安全設(shè)備需要全面支持IPv6協(xié)議的識別和安全防護，支持IPv6病毒庫、特征庫、威脅情報的升級，支持IPv6海量地址的日志記錄和行為審計。

2.3 IPv6協(xié)議棧安全

IPv6端端直連、鄰居發(fā)現(xiàn)協(xié)議、DHCPv6協(xié)議、無狀態(tài)地址自動配置、IP級AH（Authentication Header）和ESP（Encapsulating Security Payload）標記等IPv6協(xié)議棧獨有技術(shù)的安全問題。

2.4 終端安全

全面支持有狀態(tài)IPv6地址接入終端、無狀態(tài)IPv6地址接入終端的認證、鑒權(quán)、審計和攻擊溯源。支持IPv6終端的安全掃描和終端漏洞監(jiān)測。

2.5 威脅情報

當前網(wǎng)絡(luò)安全行業(yè)，關(guān)于IPv6攻擊態(tài)勢、IPv6攻擊分布、IPv6威脅預(yù)警等威脅情報數(shù)據(jù)的收集發(fā)布工作相較傳統(tǒng)IPv4還存在很大提升空間。

2.6 過渡期安全

在從IPv4向IPv6過渡的過程中，校園網(wǎng)管理員面臨著很多信息安全策略調(diào)整，一些攻擊者可使用IPv6地址空間來向IPv4網(wǎng)絡(luò)發(fā)起攻擊。

IPv4/v6雙棧、隧道、互通翻譯等過渡技術(shù)方案，也帶來了一些安全問題和網(wǎng)絡(luò)攻防技術(shù)變化。

2.7 IPv6相關(guān)漏洞

IPv6環(huán)境中的攻擊大量針對的是傳輸層和應(yīng)用層的安全漏洞，攻擊主要集中在城域網(wǎng)和高校校園網(wǎng)。IPv6相關(guān)漏洞總體呈現(xiàn)攀升趨勢，值得持續(xù)關(guān)注。

3 IPv6網(wǎng)絡(luò)安全防護技術(shù)

目前IPv6網(wǎng)絡(luò)安全防護技術(shù)主要涉及：可信校園網(wǎng)、應(yīng)用安全、主動防御等幾個方面。

3.1 IPv6可信校園網(wǎng)技術(shù)

建設(shè)IPv6環(huán)境下的可信校園網(wǎng)，主要涉及三個方面。

（1）服務(wù)器和終端安全

提升服務(wù)器用戶終端的安全防護等級，主要涉及：操作系統(tǒng)漏洞掃描、補丁發(fā)布和安全加固技術(shù)、云平臺安全；接入認證、鑒權(quán)、審計技術(shù)；支持IPv6協(xié)議的上網(wǎng)行為管理技術(shù)，IPv6地址分配管理技術(shù)。

（2）網(wǎng)絡(luò)安全

提升網(wǎng)絡(luò)級別的安全防護。涉及安全網(wǎng)關(guān)（路由器ACL，包過濾防火墻和代理）、入侵檢測防御系統(tǒng)、支持IPv6 DDoS防護技術(shù)等。

（3）信息安全

校園網(wǎng)信息安技術(shù)主要涉及：IPv6環(huán)境的數(shù)據(jù)泄露防護技術(shù)、數(shù)據(jù)庫防護技術(shù)、大數(shù)據(jù)平臺安全、數(shù)字證書、商業(yè)密碼等。

3.2 IPv6應(yīng)用安全防護技術(shù)

提供應(yīng)用級別的安全防護。涉及網(wǎng)絡(luò)應(yīng)用威脅模型（包括客戶端和服務(wù)器端）、IPv6資產(chǎn)互聯(lián)網(wǎng)暴露面監(jiān)測技術(shù)、IPv6應(yīng)用入侵檢測和防護技術(shù)、IPv6配置核查、WEB掃描、流量清洗、IPv6郵件網(wǎng)關(guān)等。

3.3 IPv6主動防御技術(shù)

充分利用安全聯(lián)動技術(shù)、蜜罐技術(shù)、動態(tài)防御技術(shù)構(gòu)建主動安全防御體系。感知基于IPv6的網(wǎng)絡(luò)攻擊行為，實現(xiàn)“攻擊感知精準化、攻擊過程可視化”，并通過攻擊行為反向推進傳統(tǒng)基于特征庫的WAF、IPS等設(shè)備的升級和優(yōu)化，整體提高面對IPv6網(wǎng)絡(luò)功能的檢測、阻斷和應(yīng)急處置能力。

4 IPv6網(wǎng)絡(luò)安全防護技術(shù)應(yīng)用

IPv6網(wǎng)絡(luò)安全防護技術(shù)應(yīng)結(jié)合高校實際情況應(yīng)用。圍繞“一個中心，三重防護”建設(shè)防護體系。

4.1 在校園網(wǎng)安全體系建設(shè)中的應(yīng)用

校園網(wǎng)部署全面支持IPv6的安全態(tài)勢感知平臺、安全管理平臺、網(wǎng)絡(luò)與IT資產(chǎn)管理平臺、安全日志審計平臺。

具備對IPv6入網(wǎng)資產(chǎn)、終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備，統(tǒng)一管理、統(tǒng)一監(jiān)控能力；對IPv6流量、IPv6網(wǎng)絡(luò)行為、IPv6威脅攻擊，統(tǒng)一審計、綜合分析且協(xié)同防護能力。

4.2 在校園物聯(lián)網(wǎng)建設(shè)中的應(yīng)用

校園物聯(lián)網(wǎng)接入終端數(shù)量大、分布廣、種類多。在校園物聯(lián)網(wǎng)中使用IPv6地址很好的解決傳統(tǒng)IPv4網(wǎng)絡(luò)的不足。

多業(yè)務(wù)物聯(lián)網(wǎng)的IPv6部署；實現(xiàn)物聯(lián)網(wǎng)終端即插即用，無感準入；實現(xiàn)物聯(lián)網(wǎng)終端可視化管理；實現(xiàn)物聯(lián)網(wǎng)終端入網(wǎng)可控，啞終端自動上線；實現(xiàn)針對物聯(lián)網(wǎng)終端的IPv6地址管理；實現(xiàn)分級分權(quán)管理；實現(xiàn)業(yè)務(wù)系統(tǒng)隔離，提高信息安全。

4.3 在校園5G專網(wǎng)建設(shè)中的應(yīng)用

可利用二次鑒權(quán)技術(shù)，使運營商5G網(wǎng)絡(luò)與學(xué)校IPv6網(wǎng)絡(luò)本地在可信、安全的前提下，實現(xiàn)互聯(lián)互通?？伸`活利用IPv6網(wǎng)絡(luò)和5G網(wǎng)絡(luò)構(gòu)建跨地域的安全虛擬校園網(wǎng)。

5 結(jié)束語

IPv6規(guī)模應(yīng)用為解決網(wǎng)絡(luò)安全問題提供了新平臺。IPv6網(wǎng)絡(luò)安全建設(shè)是國家網(wǎng)絡(luò)安全和教育信息化中的重要一環(huán)。IPv6技術(shù)創(chuàng)新與網(wǎng)絡(luò)安全防護技術(shù)相結(jié)合，將會不斷創(chuàng)新校園網(wǎng)安全保障手段，不斷完善校園網(wǎng)安全保障體系。

[1]IPv6環(huán)境下的網(wǎng)絡(luò)安全觀察[J].信息安全與通信保密，2019（08）：87-94.

[2]朱慧.高校IPv6網(wǎng)絡(luò)安全風(fēng)險及其應(yīng)對策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（07）：98-100.

[3]馮騏.校園網(wǎng)IPv6終端的MAC地址追溯[J].中國教育網(wǎng)絡(luò)，2021，264（04）：51-52.

[4]楊凱，羅玉盤，劉志宏.IPv6在校園網(wǎng)安全防護中的應(yīng)用[J].電子技術(shù)，2021，50（06）：48-49.

[5]覃德澤，李立信.高校智慧校園網(wǎng)中物聯(lián)網(wǎng)、5G、云計算及IPv6的融合問題探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019，228（12）：104-106.