近日,长亭科技下一代Web应用防火墙雷池(SafeLine)正式通过在全球 IPv6 测试中心进行的 IPv6 Ready核心协议测试,获得了由国际组织 IPv6 Forum颁发的 IPv6 Ready Logo Phase-2 金牌认证(Logo ID:02-C-001904), 这标志着该产品在IPv6一致性及互联互通方面符合IETF IPv6相关 RFC 标准,在下一代互联网安全形逐中将更具竞争力。
互联网已经成为关系到国民经济和社会发展的重要基础设施,并且深刻影响当前全球政治、经济以及科技等领域的发展格局。随着网络应用的迅速崛起和高速发展,基于HTML5等技术的轻量级Web应用市场也越发火热,以互动和应用为主的Web体验如流媒体、游戏、VR(AR)沉浸式应用等正在极大丰富并改变人们的生活。
IP 地址是互联网的基石。然而, 随着应用日渐丰富,接入装置呈几何式增长,IPv4 正面临着地址资源枯竭的危机,NAT 技术也并没有在根本上解决 IPv4 地址枯竭问题。为了应对危机,全球都在研究推进使用下一代互联网通讯协议 IPv6 来解决地址短缺问题。IPv6 地址库数量为 2128个,有比喻说:使用 IPv6 后,地球上的每一粒沙子都可以拥有属于自己的 IPv6 地址。IPv6 丰富的地址,让“物联网”成为可能。
除了 IP 地址资源极其丰富之外,IPv6 的演进本身也从安全方面考量,很多特性可以加以利用,如标配加密选项,使用者和服务器之间的通讯很难被破解,为安全产品提供更多机遇。
2017年底,国家开始积极推动 IPv6 普及,中共中央办公厅,国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》,从战略高度上加速 IPv6 的部署,积极推进下一代互联网的发展。根据《计划》,到2020年末, 我国IPv6 活跃使用者数超过5亿;到2025年末,我国 IPv6 网络规模、使用者规模、流量规模位居世界第一位。
面对Web站点急剧增加,Web应用快速丰富,Web应用所遭受的安全性威胁必然越来越高。在新的协议栈开始规模化部署前,网络安全行业需要跑在前面,升级改造网络安全产品,保障 IPv6 升级过渡期间的网络安全,保障网络的支援能力,助力 IPv4 到 IPv6 的演进工作。
诚然,IPv6 的演进本身也从安全方面考量,很多特性都可以加以利用,助力安全建设。这也为WAF产品的发展迭代提供了一些机遇:
然而,与此同时,现有的资讯保安产品很多是在 IPv4 网络环境下的网络安全保障系统研制开发的。IPv6时代,各种安全产品都需要提升对 IPv6 地址和网络环境的支援能力。这也对安全厂商提出了许多新的挑战。
对于WAF而言,虽然应用层防御能力几乎不受网络层协议影响,但是在进行 IPv6 相关产品升级改造时,需要将与 IP 协议/地址相关的检测流量资讯处理方式进行改造,涉及层面深,范围大,改造的成本相对很高。
IP 地址对于业务安全策略配置(自定义规则、访问控制功能等)及逻辑可谓是重要一环,WAF产品若未及时支援 IPv6,当检测流量中的 IP 资讯包含 IPv6 的地址资讯时,产品并不能跟安全策略配置进行正常的业务安全防护以及资讯展示,必将引发严重的业务安全问题。
为适应 IPv6 环境下协议支援与业务安全的新形式,雷池(SafeLine)在支援处理 IPv6 相关检测后,迅速将 IPv6 相关的产品功能改造落到实处,在所有跟 IP 地址资讯相关的功能上都增加了支援 IPv6 的配置,保证所有与业务安全相关的功能配置满足业务安全对于 IPv6 的需求。
针对 IPv6 协议,新版本的雷池对产品架构和功能进行了重大升级,使得产品能在 IPv6 环境下进行部署,并对 IPv6 流量进行检测:
IPv4 到 IPv6 的过渡不可能一蹴而就,在很长的一段时间内,两种协议将并存。考虑到这一点,雷池(SafeLine)可支援 IPv4/IPv6 双栈协议的部署模式。
