華為安全為高校下一代IPv6網(wǎng)絡(luò )隨時(shí)待命

　　2012年3月，根據黨中央、國務(wù)院關(guān)于從戰略高度重視下一代互聯(lián)網(wǎng)發(fā)展的精神，發(fā)改委、工信部等七部委聯(lián)合下發(fā)了《下一代互聯(lián)網(wǎng)“十二五”發(fā)展建設的意見(jiàn)》，從國家政策層面推動(dòng)加速我國IPv6下一代互聯(lián)網(wǎng)發(fā)展，明確提出現網(wǎng)商用試點(diǎn)階段(2013 年底前)，開(kāi)展IPv6 網(wǎng)絡(luò )小規模商用試點(diǎn)，形成成熟的商業(yè)模式和技術(shù)演進(jìn)路線(xiàn)。并且強調中國教育網(wǎng)(CERNET)和中國科技網(wǎng)(CSTNET)全部支持IPv6，“211”工程學(xué)校外網(wǎng)網(wǎng)站系統全部滿(mǎn)足IPv6訪(fǎng)問(wèn)。

　　從2003年我國已經(jīng)開(kāi)始組織實(shí)施基于IPv6的下一代互聯(lián)網(wǎng)應用示范工程(CNGI)，由教育部管理的全國學(xué)術(shù)網(wǎng)絡(luò )第二代中國教育和科研計算機網(wǎng)CERNET2是CNGI項目的重要組成，也是目前全球最大的IPv6單棧網(wǎng)絡(luò )，覆蓋了清華大學(xué)、北京大學(xué)、同濟大學(xué)等全國上百所高校，IPv6用戶(hù)規模超過(guò)200萬(wàn)。然而如何解決IPv6安全問(wèn)題便成為高校網(wǎng)絡(luò )下一階段新的挑戰。正如下一代互聯(lián)網(wǎng)“十二五”發(fā)展建設的意見(jiàn)》明確提出的，要求加強網(wǎng)絡(luò )與信息安全保障工作，全面提升下一代互聯(lián)網(wǎng)安全性和可信性。

　　當前的校園網(wǎng)已經(jīng)存在很多安全問(wèn)題，包括各種網(wǎng)絡(luò )攻擊與入侵、病毒泛濫、僵尸主機等等，校園網(wǎng)在部署、使用IPv4與IPv6雙棧網(wǎng)絡(luò )之后，那么勢必面臨IPv4與IPv6雙重威脅和隱患，在享受雙棧資源的同時(shí)，也潛在的為安全風(fēng)險打開(kāi)了兩條道路。由于IPv4與IPv6網(wǎng)絡(luò )的主要區別是在于所使用的基礎IP承載協(xié)議不同，而應用層的各種業(yè)務(wù)與功能并沒(méi)有進(jìn)行任何改變，于是針對應用層的攻擊、入侵、病毒以及安全風(fēng)險出現、發(fā)生的條件和概率與IPv4網(wǎng)絡(luò )并無(wú)較大差異。因此，即便是校園網(wǎng)的IPv4安全防護措施能夠做到天衣無(wú)縫，此時(shí)如果無(wú)任何IPv6安全部署，就如同只關(guān)閉了家中的前門(mén)，而后門(mén)的疏漏卻給竊賊留下了可稱(chēng)之機。

　　此外，高校IPv6網(wǎng)絡(luò )除了要達到IPv4網(wǎng)絡(luò )安全防護能力之外，在IPv4向IPv6的演進(jìn)過(guò)程中，還需要特別注意各種過(guò)渡技術(shù)與方案的安全隱患。由于在共存時(shí)期，IPv4網(wǎng)絡(luò )與IPv6網(wǎng)絡(luò )同時(shí)存在，且有互通需求，這就要求來(lái)自?xún)煞N不同IP協(xié)議網(wǎng)絡(luò )的威脅不能夠交叉感染。對于所選擇部署的各種主流過(guò)渡技術(shù)（隧道和翻譯技術(shù)），由于尚無(wú)成熟的使用經(jīng)驗，因此很可能也會(huì )存在潛在的安全風(fēng)險。

　　隧道技術(shù)是對報文進(jìn)行一層封裝。隧道報文在經(jīng)過(guò)防火墻等網(wǎng)絡(luò )安全設備時(shí)，如果需要被檢查與過(guò)濾，那網(wǎng)絡(luò )安全技術(shù)就得支持各種新的隧道協(xié)議，能夠對隧道進(jìn)行解封裝，而后才能對內嵌報文進(jìn)行處理。在建立各種隧道的時(shí)候，對隧道對端的認證也就十分必要，否則，所建立的隧道就不可靠，會(huì )被黑客和攻擊者利用，成為進(jìn)入校園網(wǎng)的通路。而在利用翻譯技術(shù)將IPv6與IPv4網(wǎng)絡(luò )進(jìn)行互聯(lián)互通時(shí)，如IVI和NAT64技術(shù)，要改變報文的IP層及傳輸層的相關(guān)信息，這樣會(huì )對端到端的安全產(chǎn)生影響。同時(shí)，翻譯設備作為網(wǎng)絡(luò )互通的關(guān)鍵節點(diǎn)，會(huì )成為DDoS攻擊的主要目標，一旦自身的IPv4公網(wǎng)地址資源被惡意消耗，將影響校園網(wǎng)的正常運行。
　　對于CNGI及CERNET2網(wǎng)絡(luò )建設，華為公司一直參與其中，已經(jīng)部署了一定規模的IPv6路由器和交換機。在網(wǎng)絡(luò )安全上，從2008年開(kāi)始華為公司就投入IPv6防火墻等設備的預研和研發(fā)，為IPv6下一代互聯(lián)網(wǎng)的商用做了充分準備。2010年，華為USG9000系列安全網(wǎng)關(guān)成為國內首個(gè)獲得IPv6 Ready金牌第二階段增強認證的安全產(chǎn)品，具備了IPv4與IPv6雙棧防火墻功能，即使同時(shí)開(kāi)啟雙棧防護也不會(huì )對性能造成任何損失。由于支持了多種主流的IPv6過(guò)渡技術(shù)，USG9000系列安全網(wǎng)關(guān)可以對通過(guò)隧道封裝的報文進(jìn)行拆解，對內、外層進(jìn)行兩次檢查，確認合法性后再進(jìn)行轉發(fā)。并且，USG9000系列安全網(wǎng)關(guān)能夠提供IPv6 DDoS攻擊防范能力，可以避免自身成為DDoS攻擊的目標，進(jìn)一步保證了用戶(hù)網(wǎng)絡(luò )和業(yè)務(wù)的穩定。除了與IPv4下類(lèi)似的安全功能外，USG9000系列安全網(wǎng)關(guān)還支持如CGA、SEND等IPv6特有的安全機制，已經(jīng)完全能夠滿(mǎn)足商用部署的主要需求。

　　近兩年，華為公司陸續承接了發(fā)改委2012國家下一代互聯(lián)網(wǎng)信息安全專(zhuān)項、IPv6信息安全專(zhuān)項等國家項目，加強下一代高性能防火墻、高性能入侵防御系統、高性能VPN設備、高性能統一威脅管理系統的研發(fā)和產(chǎn)品化能力，更好的發(fā)展自主知識產(chǎn)權，保障國家網(wǎng)絡(luò )信息安全。同時(shí)，由于中國信息安全測評中心、公安部計算機信息系統安全產(chǎn)品質(zhì)量監督檢驗中心等權威機構聯(lián)合主導的2012年國家下一代互聯(lián)網(wǎng)信息安全專(zhuān)項項目產(chǎn)品測試情況于2013年初公布，華為USG9000系列安全網(wǎng)關(guān)位列其中。

　　特別是，USG9000系列安全網(wǎng)關(guān)在國內多所高校出口部署并且穩定運行多年，對于IPv6安全能力，作為教育網(wǎng)主節點(diǎn)的國內某知名大學(xué)已經(jīng)成功在其校園網(wǎng)進(jìn)行了驗證測試。在我國IPv6下一代互聯(lián)網(wǎng)加速規模商用部署的環(huán)境下，華為USG9000系列高性能安全網(wǎng)關(guān)滿(mǎn)足了IPv6安全與IPv6過(guò)渡的雙重需求，為教育網(wǎng)發(fā)展以及我國下一代互聯(lián)網(wǎng)建設奠定了堅實(shí)基礎。