C114讯 9月29日特稿(李明)当前,以IPv6为基础的全球下一代互联网大变革、大发展、大融合已成为大势所趋;与此同时,用户在向IPv6升级的过程中,在网络层、业务层及安全层都会不可避免的遇到升级时间长、成本高、业务中断等各种难题。
为此,业界厂商早有准备。山石网科近日发布了基于IPv6的智能多维安全防护体系,并且将人工智能、大数据、云计算等新技术充分运用到智能多维安全防护体系中的每一个层面,为IPv6的安全保驾护航。
山石网科总裁兼CEO 罗东平
山石网科总裁兼CEO罗东平表示,面对IPv6时代全新的机遇和挑战,山石网科已蓄势待发!在新时代、新挑战面前,山石网科基于IPv6的智能多维安全防护体系将助力用户在新一轮IPv6发展大潮中顺应趋势、抓住机遇、抢得先机;同时用的技术、产品和解决方案,为用户提供与时俱进的安全保障。
IPv6加速部署,机遇和挑战并存
在万物互联的新世界,越来越多的设备连接到互联网,甚至每一个灯泡都需要一个网络IP地址。据相关预测,到2025年全球物理连接将达到1000亿,增长幅度超过10倍;虚拟连接将达到万亿,增长幅度将达100倍。但是,仅有40亿个地址的IPv4已耗尽全部数量的地址。
与IPv4相比,IPv6较大优点就是设计地址长度达128位,可以提供2的128次方个IP地址。夸张点儿说,IPv6的地址数量多到能给地球上每一粒沙子都分配一个地址。目前,基于IPv6的下一代互联网建设,已经成为各国推动新科技产业革命和重塑国家竞争力的先导性技术领域,各国纷纷出台相关政策加速IPv6部署。
2017年11月26日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,提出要用5年到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球较大规模的IPv6商业应用网络,实现下一代互联网在经济社会各领域深度融合应用,并成为全球下一代互联网发展的重要主导力量。该行动计划还重点强调了要强化网络安全保障,维护国家网络安全,其中包括:1.升级安全系统,进一步升级改造现有网络安全保障系统,提高网络安全态势感知、快速处置、侦查打击能力;2.强化地址管理,统筹IPv6地址申请、分配、备案等管理工作,严格落实IPv6网络地址编码规划方案,协同推进IPv6部署与网络实名制;3.加强安全防护,开展针对IPv6的网络安全等级保护、个人信息保护、风险评估、通报预警、灾难备份及恢复等工作;4.构筑新兴领域安全保障能力,加强IPv6环境下工业互联网、物联网、车联网、云计算、大数据、人工智能等领域的网络安全技术、管理及机制研究,增强新兴领域网络安全保障能力。
至此,中国吹响了加快推进IPv6规模部署的号角。同时,在网络安全方面予以高度重视。
山石网科高级副总裁、首席技术专家 杨庆华
“但从IPv4向IPv6的过渡并不是一蹴而就,目前我们正处于IPv4与IPv6双栈共存的过渡期。用户升级IPv6的过程中在网络层、业务层及安全层都会不可避免的遇到如升级时间长、升级成本高、业务中断等各种难题,需要找到有效的、简便的解决难题的方法。”山石网科高级副总裁、首席技术专家杨庆华指出,这对于安全厂商来说既是机遇,也是挑战。
网络安全挑战仍大,IPv6如何应对?
可见,基于IPv6构建下一代安全可信的互联网体系结构,即是网络技术发展的必然趋势,更是国家的战略、用户的需求。
不过,IPv6也面临着升级之痛。山石网科产品线资深经理徐涵指出,“网站改造方面,既花钱又费力,往往不知道如何下手,需要技术储备;网络改造方面,需要升级系统、升级设备、甚至升级硬件,还涉及总部升级、分支升级、总部分支互联,硬件升级原有配置都要改,很多功能升级后不支持;安全保障方面,需要满足等保要求,需要保护业务安全,避免升级后产生新的系统和网络漏洞被利用和被攻击。”
徐涵进一步指出,IPv6网络改造需要解决如下问题:IPv4到IPv6的网络应平滑过渡,既需要保障现有IPv4业务不受影响,又需要IPv6业务质量,性能达到IPv4的水平;网络设备需要支持完善的过渡技术,需要兼容更多种通用协议才能保障两种网络环境无缝连接,适用更多应用场景;IPv6过渡需要保护现有用户投资,降低升级成本和网络改造的工作量;网络改造同时还需要兼顾业务的改造和安全能力保障。
“IPv6网络的安全问题依然严峻。”徐涵强调,相对于IPv4的网络环境,虽然IPv6的网络不容易被地址扫描、碎片攻击、广播风暴、DHCP攻击,但是病毒、蠕虫、CC、欺骗、DDoS等攻击依然存在,网络安全仍面临巨大挑战。其实,针对IPv6的DDoS攻击已经出现,2018年3月,互联网工程师们发现了据称是业内起基于IPv6的DDoS攻击,他们还警告这可能仅仅只是个开始。
山石网科“多维安全防护体系”三大优势力保
针对IPv6面临的重重挑战,山石网科基于IPv6的多维安全防护体系,针对网络改造、业务改造、安全改造所面临的挑战进行全程保驾护航。
网络改造方面,在网络层,山石网科掌握完善的过渡技术。软硬件天然支持双栈网络、隧道技术、IPv6和IPv4的地址转换,基础防火墙功能,包括NAT(NAT64,NAT46)、VPN(6in4、4in6、DS-Lite等)、状态检测等;功能和协议支持的一致性保障用户在升级后服务质量不会下降。
业务改造方面,山石网科较新发布的IPv6解决方案,可在原IPv4业务系统不受影响的前提下,通过反向代理技术,帮助用户在应用层实现地址转换;可视化的内置数据库使双栈流量一目了然;SaaS化的监控平台可以实时监控网络中系统运行情况;整网安全设备可以统一配置、统一日志收集。
安全改造方面,山石网科近日发布了全新的Stone OS5.5R6,包括山石网科下一代防火墙在内的全产品线功能可支持IPv6;应用识别、整网流量的监控、统计和日志使用户的安全改造可视化;完善的状态检测,访问控制;支持AV、IPS防护及智能网络防御技术的安全功能;URL过滤以及数据泄露防护使得用户的安全改造可控化。
山石网科产品线资深经理 徐涵
谈及山石网科基于IPv6的多维安全防护体系的优势,徐涵总结道:“个优势是端到端的业务支撑,帮助用户完成业务改造,降低升级难度,减少用户开销;第二个优势是完善的网络功能和过渡技术支持,较大程度降低用户网络升级带来的影响,并保护用户投资;第三个优势是全面的4-7层安全防护能力,支持从服务器到云端整个网络的安全防护。”
AI+Big Data+Cloud深度融合
此外,山石网科还推出了山石智·源智能网络大数据分析平台,成为业界为数不多的拥有自己的大数据分析平台的网络安全厂商之一,这也标志着山石网科已全面进入ABC深度融合阶段:AI(人工智能)+Big Data(大数据)+Cloud(云计算)深度融合阶段。
山石网科资深产品总监 贾彬
对此,山石网科资深产品总监贾彬表示,至此,山石网科的安全防护体系除了具备云计算能力以外,更掌握了大数据分析处理能力以及深度机器学习能力的人工智能技术,能够帮助用户更精准、更及时地定位安全风险所在,并实施快速有效的安全防护。