首页 >> 通信新闻 >> 滚动 >> 正文
 
华为安全为高校下一代IPv6网络随时待命
http://www.cww.net.cn   2013年8月6日 15:01    

通信世界网讯(CWW) 2012年3月,根据党中央、国务院关于从战略高度重视下一代互联网发展的精神,发改委、工信部等七部委联合下发了《下一代互联网“十二五”发展建设的意见》,从国家政策层面推动加速我国IPv6下一代互联网发展,明确提出现网商用试点阶段(2013 年底前),开展IPv6 网络小规模商用试点,形成成熟的商业模式和技术演进路线。并且强调中国教育网(CERNET)和中国科技网(CSTNET)全部支持IPv6,“211”工程学校外网网站系统全部满足IPv6访问。

从2003年我国已经开始组织实施基于IPv6的下一代互联网应用示范工程(CNGI),由教育部管理的全国学术网络第二代中国教育和科研计算机网CERNET2是CNGI项目的重要组成,也是目前全球最大的IPv6单栈网络,覆盖了清华大学、北京大学、同济大学等全国上百所高校,IPv6用户规模超过200万。然而如何解决IPv6安全问题便成为高校网络下一阶段新的挑战。正如下一代互联网“十二五”发展建设的意见》明确提出的,要求加强网络与信息安全保障工作,全面提升下一代互联网安全性和可信性。

当前的校园网已经存在很多安全问题,包括各种网络攻击与入侵、病毒泛滥、僵尸主机等等,校园网在部署、使用IPv4与IPv6双栈网络之后,那么势必面临IPv4与IPv6双重威胁和隐患,在享受双栈资源的同时,也潜在的为安全风险打开了两条道路。由于IPv4与IPv6网络的主要区别是在于所使用的基础IP承载协议不同,而应用层的各种业务与功能并没有进行任何改变,于是针对应用层的攻击、入侵、病毒以及安全风险出现、发生的条件和概率与IPv4网络并无较大差异。因此,即便是校园网的IPv4安全防护措施能够做到天衣无缝,此时如果无任何IPv6安全部署,就如同只关闭了家中的前门,而后门的疏漏却给窃贼留下了可称之机。

此外,高校IPv6网络除了要达到IPv4网络安全防护能力之外,在IPv4向IPv6的演进过程中,还需要特别注意各种过渡技术与方案的安全隐患。由于在共存时期,IPv4网络与IPv6网络同时存在,且有互通需求,这就要求来自两种不同IP协议网络的威胁不能够交叉感染。对于所选择部署的各种主流过渡技术(隧道和翻译技术),由于尚无成熟的使用经验,因此很可能也会存在潜在的安全风险。

隧道技术是对报文进行一层封装。隧道报文在经过防火墙等网络安全设备时,如果需要被检查与过滤,那网络安全技术就得支持各种新的隧道协议,能够对隧道进行解封装,而后才能对内嵌报文进行处理。在建立各种隧道的时候,对隧道对端的认证也就十分必要,否则,所建立的隧道就不可靠,会被黑客和攻击者利用,成为进入校园网的通路。而在利用翻译技术将IPv6与IPv4网络进行互联互通时,如IVI和NAT64技术,要改变报文的IP层及传输层的相关信息,这样会对端到端的安全产生影响。同时,翻译设备作为网络互通的关键节点,会成为DDoS攻击的主要目标,一旦自身的IPv4公网地址资源被恶意消耗,将影响校园网的正常运行。

对于CNGI及CERNET2网络建设,华为公司一直参与其中,已经部署了一定规模的IPv6路由器和交换机。在网络安全上,从2008年开始华为公司就投入IPv6防火墙等设备的预研和研发,为IPv6下一代互联网的商用做了充分准备。2010年,华为USG9000系列安全网关成为国内首个获得IPv6 Ready金牌第二阶段增强认证的安全产品,具备了IPv4与IPv6双栈防火墙功能,即使同时开启双栈防护也不会对性能造成任何损失。由于支持了多种主流的IPv6过渡技术,USG9000系列安全网关可以对通过隧道封装的报文进行拆解,对内、外层进行两次检查,确认合法性后再进行转发。并且,USG9000系列安全网关能够提供IPv6 DDoS攻击防范能力,可以避免自身成为DDoS攻击的目标,进一步保证了用户网络和业务的稳定。除了与IPv4下类似的安全功能外,USG9000系列安全网关还支持如CGA、SEND等IPv6特有的安全机制,已经完全能够满足商用部署的主要需求。

[1]  [2]  
关注通信世界网微信“cww-weixin”,赢TD手机!
来源:通信世界网   编 辑:安华
分享到:
       收藏   打印  论坛   推荐给朋友
关键字搜索:华为  安全  IPv6  校园信息化  
猜你还喜欢的内容
文章评论查看评论()
昵称:  验证码:
 
相关新闻
即时新闻
通信技术
最新方案
企业黄页
会议活动