从IPv6技术要求设想未来合规问题

目前大多数网络还是处于双栈阶段，那么所面临的问题除了以往IPv4网络相关的，还要考虑IPv6所带来的问题。

等保2.0要求仍适用于IPv6网络

IPv6网络中，对于安全的要求，目前还应参照等保2.0执行，对于新协议、新场景引入的问题，可根据实际情况执行防护策略。

IPv4/IPv6双栈网络

IPv6协议栈只是为上层协议提供了一个可选的网络层服务。因此，双栈服务器通常在两个Internet协议上提供相同的网络服务。网络服务对于底层Internet协议不可知。

从安全的角度来看，相同的安全策略在两者的Internet协议强制执行,攻击者可以利用阻碍较少的协议进行攻击：无论是渗透网络服务器，还是执行拒绝服务攻击主机或网络。

一种最简单且普遍的安全控制是通过某种形式的防火墙设备执行包过滤策略。在IPv6信息包过滤策略方面，传统上认为其是弱于IPv4的(可能由于经验有限的IPv6协议和/或支持IPv6的网络安全设备有限)，两个协议间的过滤策略不匹配是很常见的，但没有明确的迹象表明哪种协议策略比另一种弱。

对于大多数网络场景，组织针对IPv6实施的安全策略应该与IPv4实施的安全策略相同。

隧道机制问题

隧道机制可实现 IPv6 数据包在 IPv4 网络中传输，其核心在于将IPv6 数据包封装在 IPv4 数据包中，以自动、手动等多种隧道配置方式，保障被 IPv4 网络隔离开的局部 IPv6 网络间相互通信。以 IPv6 to IPv4 和 IPv6 over IPv4 为例。

图4 隧道机制 (来源：信通院《IPv6网络安全白皮书》)

在隧道环境下，部分隧道机制仅要求隧道出入口节点对报文进行简单的封装和解封，缺乏内置认证、加密等安全功能，导致攻击者可能截取隧道报文，伪造用户地址并伪装成合法用户发起攻击。

翻译机制问题

由于IPv6的地址空间足够大，绝大多数IPv6网络将不会采用NAT。在网络使用提供商分配地址空间的情况下，ISP委派的网络前缀的任何更改都将导致整个网络的重新编号。

此外，如果网络中断影响了与上游网络提供商的连接，那么在一段较长时间内，网络可能会无法使用之前提供商委托/租用的所有前缀。如果地址空间多为此类地址，则可能导致内部网络通信中断。

ULAs[RFC4193]相当于IPv6下的IPv4私有地址[RFC1918]。ULA前缀不是由ISP分配或租用的，而是由本地网络管理员选择的，通常不会受到重新编号事件的影响——因此需要对DNS、ACL等进行较少的更新。此外，由于它们不是由ISP租用/委托，即使网络中断影响了与ISP的长期连接，仍然可以使用ULAs与内部节点通信。

对于不应该从外部网络访问的节点，ULA前缀可能特别有效，因为：

在大多数场景中，ULAs将与全局单播地址一起配置，其中ULAs用于内部通信，而全局地址将用于与外部节点通信。

安全产品对IP的支持问题

现阶段 IPv6 相关安全产品的研发应用情况来看，目前市场对 IPv6 安全产品发展的驱动效应尚未全面显现，我国 IPv6 安全产品仍处于起步发展阶段。

图5 中国 Ready Logo 设备

类型统计（来源：全球IPv6测试中心，2019.10）

新引入安全问题IPv6包结构问题

IPv6采用固定长度的基础IPv6报头，可选的扩展报头形成一个菊花链包结构。希望哪个系统处理这些选项可以使用不同的选项容器，这样节点就不必解析它们无需处理的选项。然而，当需要处理整个IPv6报头链以访问上层协议值(如传输协议类型、传输协议端口号等)时，IPv6包结构往往与现代路由器体系结构不相匹配。

IPv6扩展报头存在很多安全隐患：

为了减轻上述的安全影响，应该执行适当的包过滤策略。通常路由器应该更宽松的放行流量(使用列入黑名单的信息包过滤方法),而更接近网络的边缘节点(例如企业边界路由器)通常应该更保守,只允许他们预期想获得的流量(即采用白名单的信息包过滤方法)。

一些网络使用扩展报头来过滤数据包，这影响了IPv6扩展报头在公共互联网上使用的可靠性[RFC7872]。普遍使用的丢弃包含扩展报头的IPv6数据包也会影响IPsec扩展报头。这样做的后果是，为了使IPsec数据包在IPv6互联网上存活，可能需要通过一些传输协议(例如TCP或UDP)来隧道IPsec流量。对于某些用例，可以使用TLS VPN等替代技术。

海量地址“造福”攻击者

批量注册，批量薅羊毛，刷量，刷单，引流等需要操控大量的账号进行自动化攻击。在网络的攻防对抗中，动态切换IP来覆盖Web表单爆破，或者是利用工具进行MySQL，Redis，RDP等协议爆破，以及进行常见Web攻击，如SQL注入，0day/1day/Nday漏洞利用等。

图6 IPv4与IPv6地址资源

对于攻击者而言，他们会想尽一切办法，来不断降低攻击成本，提高攻击效率，自动化攻击便是其中的关键方法之一。对于防守方而言，他们会实施一系列防御方法，比如累积黑/白名单，创建情报库以及部署防御策略等，来提高攻击者的攻击成本，提高防守率。这实际上是资源的对抗，尤其是IP资源的对抗。企业应对秒拨IP技术引起重视，今早做好防护措施。

影子IT更难于管理

IPv6主机通常为每个网络接口配置不同范围和属性的多个地址。这与IPv4形成对比，在IPv4中，主机通常只为每个网络接口配置一个地址。随着地址数量的增加，每个地址都具有不同属性，这为提高安全性、保密性和弹性提供了能力。

然而，由于对可用地址的不当使用，这些潜在的优点通常无法实现。可能在某些场景中，这种对可用地址的不当使用将导致意外。

IPv6主机通常配置不同范围的多个地址，从链路本地到全局。一般来说，主机应该为每个应用程序使用尽可能小范围的地址。这种缩小的范围容易提供隔离，这层隔离是由地址范围本身所产生的（如Vlan）。

例如，一个只能从网络内部访问的文件服务器可能只想使用ULAs——IPv6中相当于IPv4私有地址。通过使用ULAs，有限地址范围本身可以作为与互联网隔离的一种手段。使用有限范围的地址并不排除或阻止使用其他网络防护手段，而是作为一个额外的防护。

使用有限范围的IPv6地址能带来额外的好处。例如，ULA地址块(fc00::/7)足够大没有默认网关会产生什么问题，几乎任何大型或复杂网络都可以从ULA地址空间中构建。由于ULAs是本地管理，因此即使上游提供程序出现故障，它们也可以提供可用的地址；也就是说，即使与上游提供程序的连接丢失，且全局地址超，仍然可以使用ULAs进行本地通信。

IoT设备问题

当谈到IPv6和物联网，许多人认为IPv6是物联网释放其全部潜力的必要条件。然而没有默认网关会产生什么问题，分析IPv6——特别是全局寻址和any to any连接——在何种程度上与物联网想结合是很重要。

无论使用或不使用全局地址空间，是否需要any to any连接(包括主动入站通信)，以及它对物联网设备安全性的影响才是问题的关键。在IPv4中，未经请求的入站通信由于使用NAT会被阻断。随着NAT和网络过滤策略（可能）在IPv6中的消失，全局any to any通信可以提高灵活性——同时以增加攻击风险作为代价。

是否对IPv6和物联网设备实施同样的过滤策略将取决于相关设备的通信模型；是否期望外部实体轮询物联网设备，或是否期望物联网设备通知外部实体。如果是前者，物联网网络将需要接受入站、未经请求的通信。若是后者，传入的通信可能会被阻断，而物联网设备将能够根据需要来连接外部系统。

除了可能的物联网设备通信模式,当从外部网络向物联网网络通信是可行的,这种通信应该直接访问物联网设备，还是应该通过作为物联网和外部网络之间的网关代理来执行？显然，网关方式在安全方面可能会更好，而且在监管脆弱的物联网设备流量方面也可能处于有利地位。

物联网网关具有设备连接、协议转换、数据过滤和处理、安全、更新、管理等重要功能。物联网网关也可以作为应用程序代码平台，处理数据并成为支持边缘系统的智能部分。

IPv6协议漏洞

有关IPv6的安全漏洞在逐渐被爆出，虽然可被利用的漏洞数量还不算多，但组织应该密切关注。截止今年6月，CVE官方统计IPv6漏洞数量以超过400个。企业以后的漏洞扫描工具应支持IPv6漏洞和资产发现功能。

图7 IPv6漏洞情况（来源：CVE，2020.06）

官方建议

“好用”已经成为当前IPv6规模部署工作重点（其实，目前大多数企业的要求是“能有”，还没到“好用”）。“好用”不仅是简单的用IPv6替代IPv4，更要发挥基于IPv6+的下一代互联网创新优势实现业务创新和产业赋能。IPv6+提出的SRv6、VPN+、APN等关键技术，为简化网络结构、优化用户体验和提升网络智能化奠定了良好的基础，与5G、云网融合、工业互联网、车联网等应用对网络承载需求不谋而合，为进一步开展网络和业务创新提供了广阔的空间。因此，加强基于IPv6+的下一代互联网技术创新，发展增强型“IPv6+”网络提升网络能力，从而驱动网络和业务融合创新，是下一步IPv6发展的必然方向。

自两办发布《行动计划》伊始，加强IPv6创新是贯穿整个IPv6规模部署的重点工作。2019年底，中央网信办、工信部等有关部门指导“IPv6规模部署专家委员会”成立了“IPv6+技术创新工作组”，工作组依托我国IPv6规模部署成果，整合IPv6相关产业链力量，从网络路由协议、管理自动化、智能化及安全等方向，积极开展创新研究、标准制定、测试验证和应用示范，针对下一代互联网技术的代际演进开展系列创新，促进提升我国在下一代互联网领域的国际竞争力。

《专项行动》提出了四项保障措施。企业层面，要做到“落实举措、责任主体、完成时限”三个明确，将IPv6相关任务完成情况作为年度考核重要指标，同时配合工信部做好各项部署监测工作。工信部组织有关方面，除了做好持续完善IPv6发展监测平台、开展IPv6改造各环节监测、加强对重点企业的督导等日常工作外，将组织成立IPv6网络改造攻坚专项协同推进工作组，重点针对CDN、云服务、网络质量等IPv6改造关键环节，从基础电信企业、主要互联网企业、研究机构、行业联盟等单位抽调技术骨干，集中优势力量攻坚克难，着力完成IPv6规模部署第二阶段重点任务。