華為安全為高校下一代IPv6網(wǎng)絡(luò)隨時(shí)待命

    2012年3月，根據(jù)黨中央、國務(wù)院關(guān)于從戰(zhàn)略高度重視下一代互聯(lián)網(wǎng)發(fā)展的精神，發(fā)改委、工信部等七部委聯(lián)合下發(fā)了《下一代互聯(lián)網(wǎng)“十二五”發(fā)展建設(shè)的意見》，從國家政策層面推動(dòng)加速我國IPv6下一代互聯(lián)網(wǎng)發(fā)展，明確提出現(xiàn)網(wǎng)商用試點(diǎn)階段(2013 年底前)，開展IPv6 網(wǎng)絡(luò)小規(guī)模商用試點(diǎn)，形成成熟的商業(yè)模式和技術(shù)演進(jìn)路線。并且強(qiáng)調(diào)中國教育網(wǎng)(CERNET)和中國科技網(wǎng)(CSTNET)全部支持IPv6，“211”工程學(xué)校外網(wǎng)網(wǎng)站系統(tǒng)全部滿足IPv6訪問。

    從2003年我國已經(jīng)開始組織實(shí)施基于IPv6的下一代互聯(lián)網(wǎng)應(yīng)用示范工程(CNGI)，由教育部管理的全國學(xué)術(shù)網(wǎng)絡(luò)第二代中國教育和科研計(jì)算機(jī)網(wǎng)CERNET2是CNGI項(xiàng)目的重要組成，也是目前全球最大的IPv6單棧網(wǎng)絡(luò)，覆蓋了清華大學(xué)、北京大學(xué)、同濟(jì)大學(xué)等全國上百所高校，IPv6用戶規(guī)模超過200萬。然而如何解決IPv6安全問題便成為高校網(wǎng)絡(luò)下一階段新的挑戰(zhàn)。正如下一代互聯(lián)網(wǎng)“十二五”發(fā)展建設(shè)的意見》明確提出的，要求加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作，全面提升下一代互聯(lián)網(wǎng)安全性和可信性。

    當(dāng)前的校園網(wǎng)已經(jīng)存在很多安全問題，包括各種網(wǎng)絡(luò)攻擊與入侵、病毒泛濫、僵尸主機(jī)等等，校園網(wǎng)在部署、使用IPv4與IPv6雙棧網(wǎng)絡(luò)之后，那么勢(shì)必面臨IPv4與IPv6雙重威脅和隱患，在享受雙棧資源的同時(shí)，也潛在的為安全風(fēng)險(xiǎn)打開了兩條道路。由于IPv4與IPv6網(wǎng)絡(luò)的主要區(qū)別是在于所使用的基礎(chǔ)IP承載協(xié)議不同，而應(yīng)用層的各種業(yè)務(wù)與功能并沒有進(jìn)行任何改變，于是針對(duì)應(yīng)用層的攻擊、入侵、病毒以及安全風(fēng)險(xiǎn)出現(xiàn)、發(fā)生的條件和概率與IPv4網(wǎng)絡(luò)并無較大差異。因此，即便是校園網(wǎng)的IPv4安全防護(hù)措施能夠做到天衣無縫，此時(shí)如果無任何IPv6安全部署，就如同只關(guān)閉了家中的前門，而后門的疏漏卻給竊賊留下了可稱之機(jī)。

    此外，高校IPv6網(wǎng)絡(luò)除了要達(dá)到IPv4網(wǎng)絡(luò)安全防護(hù)能力之外，在IPv4向IPv6的演進(jìn)過程中，還需要特別注意各種過渡技術(shù)與方案的安全隱患。由于在共存時(shí)期，IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)同時(shí)存在，且有互通需求，這就要求來自兩種不同IP協(xié)議網(wǎng)絡(luò)的威脅不能夠交叉感染。對(duì)于所選擇部署的各種主流過渡技術(shù)（隧道和翻譯技術(shù)），由于尚無成熟的使用經(jīng)驗(yàn)，因此很可能也會(huì)存在潛在的安全風(fēng)險(xiǎn)。

    隧道技術(shù)是對(duì)報(bào)文進(jìn)行一層封裝。隧道報(bào)文在經(jīng)過防火墻等網(wǎng)絡(luò)安全設(shè)備時(shí)，如果需要被檢查與過濾，那網(wǎng)絡(luò)安全技術(shù)就得支持各種新的隧道協(xié)議，能夠?qū)λ淼肋M(jìn)行解封裝，而后才能對(duì)內(nèi)嵌報(bào)文進(jìn)行處理。在建立各種隧道的時(shí)候，對(duì)隧道對(duì)端的認(rèn)證也就十分必要，否則，所建立的隧道就不可靠，會(huì)被黑客和攻擊者利用，成為進(jìn)入校園網(wǎng)的通路。而在利用翻譯技術(shù)將IPv6與IPv4網(wǎng)絡(luò)進(jìn)行互聯(lián)互通時(shí)，如IVI和NAT64技術(shù)，要改變報(bào)文的IP層及傳輸層的相關(guān)信息，這樣會(huì)對(duì)端到端的安全產(chǎn)生影響。同時(shí)，翻譯設(shè)備作為網(wǎng)絡(luò)互通的關(guān)鍵節(jié)點(diǎn)，會(huì)成為DDoS攻擊的主要目標(biāo)，一旦自身的IPv4公網(wǎng)地址資源被惡意消耗，將影響校園網(wǎng)的正常運(yùn)行。

    對(duì)于CNGI及CERNET2網(wǎng)絡(luò)建設(shè)，華為公司一直參與其中，已經(jīng)部署了一定規(guī)模的IPv6路由器和交換機(jī)。在網(wǎng)絡(luò)安全上，從2008年開始華為公司就投入IPv6防火墻等設(shè)備的預(yù)研和研發(fā)，為IPv6下一代互聯(lián)網(wǎng)的商用做了充分準(zhǔn)備。2010年，華為USG9000系列安全網(wǎng)關(guān)成為國內(nèi)首個(gè)獲得IPv6Ready金牌第二階段增強(qiáng)認(rèn)證的安全產(chǎn)品，具備了IPv4與IPv6雙棧防火墻功能，即使同時(shí)開啟雙棧防護(hù)也不會(huì)對(duì)性能造成任何損失。由于支持了多種主流的IPv6過渡技術(shù)，USG9000系列安全網(wǎng)關(guān)可以對(duì)通過隧道封裝的報(bào)文進(jìn)行拆解，對(duì)內(nèi)、外層進(jìn)行兩次檢查，確認(rèn)合法性后再進(jìn)行轉(zhuǎn)發(fā)。并且，USG9000系列安全網(wǎng)關(guān)能夠提供IPv6DDoS攻擊防范能力，可以避免自身成為DDoS攻擊的目標(biāo)，進(jìn)一步保證了用戶網(wǎng)絡(luò)和業(yè)務(wù)的穩(wěn)定。除了與IPv4下類似的安全功能外，USG9000系列安全網(wǎng)關(guān)還支持如CGA、SEND等IPv6特有的安全機(jī)制，已經(jīng)完全能夠滿足商用部署的主要需求。

    近兩年，華為公司陸續(xù)承接了發(fā)改委2012國家下一代互聯(lián)網(wǎng)信息安全專項(xiàng)、IPv6信息安全專項(xiàng)等國家項(xiàng)目，加強(qiáng)下一代高性能防火墻、高性能入侵防御系統(tǒng)、高性能VPN設(shè)備、高性能統(tǒng)一威脅管理系統(tǒng)的研發(fā)和產(chǎn)品化能力，更好的發(fā)展自主知識(shí)產(chǎn)權(quán)，保障國家網(wǎng)絡(luò)信息安全。同時(shí)，由于中國信息安全測(cè)評(píng)中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心等權(quán)威機(jī)構(gòu)聯(lián)合主導(dǎo)的2012年國家下一代互聯(lián)網(wǎng)信息安全專項(xiàng)項(xiàng)目產(chǎn)品測(cè)試情況于2013年初公布，華為USG9000系列安全網(wǎng)關(guān)位列其中。

    特別是，USG9000系列安全網(wǎng)關(guān)在國內(nèi)多所高校出口部署并且穩(wěn)定運(yùn)行多年，對(duì)于IPv6安全能力，作為教育網(wǎng)主節(jié)點(diǎn)的國內(nèi)某知名大學(xué)已經(jīng)成功在其校園網(wǎng)進(jìn)行了驗(yàn)證測(cè)試。在我國IPv6下一代互聯(lián)網(wǎng)加速規(guī)模商用部署的環(huán)境下，華為USG9000系列高性能安全網(wǎng)關(guān)滿足了IPv6安全與IPv6過渡的雙重需求，為教育網(wǎng)發(fā)展以及我國下一代互聯(lián)網(wǎng)建設(shè)奠定了堅(jiān)實(shí)基礎(chǔ)。