華為安全為高校下一代IPv6網絡隨時待命

    2012年3月，根據黨中央、國務院關于從戰(zhàn)略高度重視下一代互聯網發(fā)展的精神，發(fā)改委、工信部等七部委聯合下發(fā)了《下一代互聯網“十二五”發(fā)展建設的意見》，從國家政策層面推動加速我國IPv6下一代互聯網發(fā)展，明確提出現網商用試點階段(2013 年底前)，開展IPv6 網絡小規(guī)模商用試點，形成成熟的商業(yè)模式和技術演進路線。并且強調中國教育網(CERNET)和中國科技網(CSTNET)全部支持IPv6，“211”工程學校外網網站系統(tǒng)全部滿足IPv6訪問。

    從2003年我國已經開始組織實施基于IPv6的下一代互聯網應用示范工程(CNGI)，由教育部管理的全國學術網絡第二代中國教育和科研計算機網CERNET2是CNGI項目的重要組成，也是目前全球最大的IPv6單棧網絡，覆蓋了清華大學、北京大學、同濟大學等全國上百所高校，IPv6用戶規(guī)模超過200萬。然而如何解決IPv6安全問題便成為高校網絡下一階段新的挑戰(zhàn)。正如下一代互聯網“十二五”發(fā)展建設的意見》明確提出的，要求加強網絡與信息安全保障工作，全面提升下一代互聯網安全性和可信性。

    當前的校園網已經存在很多安全問題，包括各種網絡攻擊與入侵、病毒泛濫、僵尸主機等等，校園網在部署、使用IPv4與IPv6雙棧網絡之后，那么勢必面臨IPv4與IPv6雙重威脅和隱患，在享受雙棧資源的同時，也潛在的為安全風險打開了兩條道路。由于IPv4與IPv6網絡的主要區(qū)別是在于所使用的基礎IP承載協議不同，而應用層的各種業(yè)務與功能并沒有進行任何改變，于是針對應用層的攻擊、入侵、病毒以及安全風險出現、發(fā)生的條件和概率與IPv4網絡并無較大差異。因此，即便是校園網的IPv4安全防護措施能夠做到天衣無縫，此時如果無任何IPv6安全部署，就如同只關閉了家中的前門，而后門的疏漏卻給竊賊留下了可稱之機。

    此外，高校IPv6網絡除了要達到IPv4網絡安全防護能力之外，在IPv4向IPv6的演進過程中，還需要特別注意各種過渡技術與方案的安全隱患。由于在共存時期，IPv4網絡與IPv6網絡同時存在，且有互通需求，這就要求來自兩種不同IP協議網絡的威脅不能夠交叉感染。對于所選擇部署的各種主流過渡技術（隧道和翻譯技術），由于尚無成熟的使用經驗，因此很可能也會存在潛在的安全風險。

    隧道技術是對報文進行一層封裝。隧道報文在經過防火墻等網絡安全設備時，如果需要被檢查與過濾，那網絡安全技術就得支持各種新的隧道協議，能夠對隧道進行解封裝，而后才能對內嵌報文進行處理。在建立各種隧道的時候，對隧道對端的認證也就十分必要，否則，所建立的隧道就不可靠，會被黑客和攻擊者利用，成為進入校園網的通路。而在利用翻譯技術將IPv6與IPv4網絡進行互聯互通時，如IVI和NAT64技術，要改變報文的IP層及傳輸層的相關信息，這樣會對端到端的安全產生影響。同時，翻譯設備作為網絡互通的關鍵節(jié)點，會成為DDoS攻擊的主要目標，一旦自身的IPv4公網地址資源被惡意消耗，將影響校園網的正常運行。

    對于CNGI及CERNET2網絡建設，華為公司一直參與其中，已經部署了一定規(guī)模的IPv6路由器和交換機。在網絡安全上，從2008年開始華為公司就投入IPv6防火墻等設備的預研和研發(fā)，為IPv6下一代互聯網的商用做了充分準備。2010年，華為USG9000系列安全網關成為國內首個獲得IPv6Ready金牌第二階段增強認證的安全產品，具備了IPv4與IPv6雙棧防火墻功能，即使同時開啟雙棧防護也不會對性能造成任何損失。由于支持了多種主流的IPv6過渡技術，USG9000系列安全網關可以對通過隧道封裝的報文進行拆解，對內、外層進行兩次檢查，確認合法性后再進行轉發(fā)。并且，USG9000系列安全網關能夠提供IPv6DDoS攻擊防范能力，可以避免自身成為DDoS攻擊的目標，進一步保證了用戶網絡和業(yè)務的穩(wěn)定。除了與IPv4下類似的安全功能外，USG9000系列安全網關還支持如CGA、SEND等IPv6特有的安全機制，已經完全能夠滿足商用部署的主要需求。

    近兩年，華為公司陸續(xù)承接了發(fā)改委2012國家下一代互聯網信息安全專項、IPv6信息安全專項等國家項目，加強下一代高性能防火墻、高性能入侵防御系統(tǒng)、高性能VPN設備、高性能統(tǒng)一威脅管理系統(tǒng)的研發(fā)和產品化能力，更好的發(fā)展自主知識產權，保障國家網絡信息安全。同時，由于中國信息安全測評中心、公安部計算機信息系統(tǒng)安全產品質量監(jiān)督檢驗中心等權威機構聯合主導的2012年國家下一代互聯網信息安全專項項目產品測試情況于2013年初公布，華為USG9000系列安全網關位列其中。

    特別是，USG9000系列安全網關在國內多所高校出口部署并且穩(wěn)定運行多年，對于IPv6安全能力，作為教育網主節(jié)點的國內某知名大學已經成功在其校園網進行了驗證測試。在我國IPv6下一代互聯網加速規(guī)模商用部署的環(huán)境下，華為USG9000系列高性能安全網關滿足了IPv6安全與IPv6過渡的雙重需求，為教育網發(fā)展以及我國下一代互聯網建設奠定了堅實基礎。