阿里安全猎户座实验室高级专家 东帆

0x00  引言

随着国家对 IPv6 的发展战略高度重视，2017 年 11 月 26 日中共中央办公厅、国务院办公厅发布《推进互联网协议第六版（IPv6）规模部署行动计划》，2018 年 5 月 2 日工信部发布工业和信息化部关于贯彻落实《推进互联网协议第六版（IPv6）规模部署行动计划》的通知。其中针对 IPv6 安全，计划中特别提到并重点要求升级安全系统，强化 IPv6 地址管理，增强 IPv6 安全防护，加强 IPv6 环境工业互联网、物联网、车联网、云计算、大数据、人工智能等领域的网络安全技术、管理及机制研究，构筑新兴领域安全保障能力。

同时技术和市场角度来看，随着 5G、IoT、云计算技术的不断成熟，万物互联时代即将到来，随之而来的是海量的终端设备接入需求，目前 IPv4 地址空间已不足以支撑未来发展要求，由于 IPv4 地址的枯竭，其交易价格也在不断攀升，各相关企业也有实际的 IPv6 升级需求。

当前运营商、网络设备厂商、移动终端设备商、CDN 厂商、互联网企业以及网络安全厂商等 IPv6 规模化部署均按照行动计划要求大力推进中，加速构建高速率、广普及、全覆盖、智能化的下一代互联网，按照部署计划，到 2018 年末，IPv6 活跃用户数达到 2 亿，在互联网用户中的占比不低于 20%，到 2020 年末，IPv6 活跃用户数超过 5 亿，在互联网用户中的占比超过 50%，新增网络地址不再使用私有 IPv4 地址，到 2025 年末，我国 IPv6 网络规模、用户规模、流量规模位居世界第一位。

我国整个网络环境将随网络、应用、终端全面支持 IPv6 以及 IPv6 网络规模、用户规模、流量规模的增长发生翻天覆地的变化, 新的网络环境以及新兴领域将同时面临新的安全挑战。

当前 IPv6 规模化部署实际推行过程中面临众多问题与挑战，如网络设备升级、IPv6 路由管理分配、IPv6 编址规范及分配、双栈、过渡技术、应用与业务兼容适配等，与此同时 IPv6 安全解决方案及产品升级也遇到极大的挑战，而且 IPv6 规模化部署与安全升级互相促进互相影响。

前文《下一代互联通信网络部署在即，IPv6 安全防护准备好了吗》，已从 IPv6 协议安全威胁结合互联网网络安全运营视角介绍了面临的新的安全威胁及加固建议，本文重点从互联网企业 IPv6 规模化部署实际推行过程中面临的问题、安全影响及 IPv6 安全方案视角进行分析，同时介绍互联网企业 IPv6 网络安全升级的相关实践。

0x01  互联网企业IPv6规模部署改造升级

IPv6 改造涉及应用、云、管、端等整体改造，涵盖运营商、网络设备厂商、移动终端设备商、CDN 厂商、互联网企业以及网络安全厂商等，IPv6 是网络，是 IT infrastructure, 更是整个生态能力的提升。

互联网企业 IPv6 规模部署改造升级主要涉及网络设备、IPv6 协议栈（含 DNS/BGP/OSPF 等协议栈）、网络管理（含海量自动化、监控工具开发等）、L4-L7 网关（SLB/WAF/FW/LVS 等）、IPv6 地址/路由管理等、互联网质量监控和流量调度、全球质量探测系统、安全产品及防护（DDoS 防护、流量清洗、网络隔离监控、业务风控等）等。

自2012 年全球 IPv6 网络正式启动以来，阿里巴巴就已开始着手 IPv6 的网络研发的设备选型及升级路线改造，6 年厚积薄发，阿里云已是目前国内唯一一家全面提供 IPv6 服务的云厂商。

阿里巴巴IPv4 到 IPv6 的演进以及IPv6规模化部分改造遵循先外部后内部，以双栈技术为过渡的原则。

截止目前阿里云现已上线发布 SLB、IPv6 转换服务、云解析 DNS、CDN、OSS、RDS 六款产品，按照国家 IPv6行动计划和统筹安排，阿里巴巴正在大力推进 IPv6改造升级，2018 年底前 TOP50 互联网企业应用（淘宝、天猫等）改造完成，可具备 IPv6 访问能力，同时阿里云产品会为客户提供端到端的 IPv6 解决方案，完成 IPv4 和 IPv6 双栈改造，50% 云产品支持 IPv6，包括 VPC，ECS 等。

阿里安全在阿里巴巴 IPv6升级改造过程中基于新一代网络架构演进、协议栈变化、中间件、应用及业务等升级改造提前识别新的安全威胁、攻击面及影响，结合互联网业务改造节奏确定IPv6安全解决方案，升级整体 IPv6 安全检测能力及安全产品，支撑各产品为客户提供安全可靠的服务。

0x02互联网企业IPv6规模部署下的八大安全挑战

1、 IPv6 协议栈安全

新的协议栈开始规模化部署，会带来新的攻击方式和攻击面，例如分片攻击、扩展头攻击、NDP 攻击等，需要提前做好服务器以及网络设备等协议栈安全配置及加固，可以参考《下一代互联通信网络部署在即，IPv6 安全防护准备好了吗》。

2、 IPv6 安全检测及扫描

IPv6 128 位地址空间解决了网络地址资源数量的问题，也为物联网的发展提供了基础，同时地址空间变大使得攻击方实施 IPv6 扫描非常困难，但对于安全防护人员进行网络安全检测扫描也带来了新的挑战。

3、 IPv6 DNS 安全

IPv6 网络扫描困难难以实施的情况下攻击方可能会寻找新的攻击方式，公共节点例如 DNS 等可能会成为优先的攻击目标，需要提前考虑应对。

4、 IPv6 DDoS 防护及黑洞

DDoS 防护涉及用户 IPv6 编址规范、运营商 IPv6 黑洞路由支持以及互联网企业安全产品改造并对接，需要多部门及各厂商共同改造并协同配合，挑战很大。

5、 IPv6 业务风控

IPv6 地址是业务风控策略中关键的一环，如何更快更智能化地升级安全防控能力，并精确快速区分恶意用户及精确溯源，涉及网络、业务、应用等，需要更全面更系统地梳理应对。

6、 IPv6 安全产品改造

安全产品（WAF/FW/IDS/IPS 等）IPv6 升级后与 IPv6 地址相关的策略及逻辑均要改造涉及，涉及面大，改造成本高。

7、 IPv6 网络安全

IPv6 地址空间大，需要做好规划及地址分配策略，同时网络访问控制及隔离、扫描都要配套升级。

8、 IPv6 过渡技术安全

IPv6 各种过渡技术（例如隧道技术、翻译技术、IPv6/IPv4 双栈技术等）安全控制措施默认情况下并不完善，需要结合认证、加密、完整性、访问控制等其他方案综合控制风险。

0x03  互联网企业IPv6安全升级及实践

从互联网企业安全架构来看，IPv6 安全升级主要改造在系统层、网络层、存储层、应用业务层以及安全管理。

系统层：主要涉及端（PC、移动端以及 IoT 等）、服务器、网络设备相关系统改造，安全升级主要包括：IPv6 协议栈安全配置加固、IPv6 服务端口最小化开放、安全补丁、IPv6 协议扫描及漏洞检测等。

网络层：安全升级主要包括网络设备 IPv6 安全配置加固、IPv6 网络地址/路由规划、IPv6 访问控制及隔离、IPv6 网络路由安全策略、IPv6 黑洞路由防 DDoS、DNS/SLB/LVS/FW/IDS IPv6、定向 IPv6 网络扫描等。

存储层：安全升级主要包括 IPv6 地址库数据、黑灰产恶意 IPv6 数据、规则算法模型等。

应用业务层：安全升级主要包括应用漏洞扫描、WAF、CC 防御、反爬虫、反欺诈/作弊及其他业务风控策略等升级改造，特别是基于 IP 的访问控制、基于 IP 的地址位置、基于 IP 的关系网等方面。

安全管理：安全升级主要包括 IPv6 相关的认证、鉴权、审计以及 SIEM 安全信息和事件管理。

另外，互联网企业 IPv6 规模部署和安全升级过程中，涉及到「云、管、端」，除了移动终端等厂商外，运营商是非常重要的，云和端的设备占到中国网民 99% 以上的规模，像中国联通、中国移动、中国电信以及教育网也是 IPv6 推动里面最强的一股力量，也是最核心的一部分，特别是用户 IPv6 地址编址及分配规范、精确溯源以及防 DDoS 等方面，在 IPv6 安全升级落地终端、运营商以及互联网企业 IPv6 安全需要统筹同步建设，各方协同配合才能更好地共建更安全更高效的新一代 IPv6 网络。

0x04  互联网IPv6安全未来展望

随着新一代互联网络的规模化部署和发展，IPv6 网络规模、用户规模、流量规模快速增长，对于互联网 IPv6 安全未来发展有几点自己的看法，希望对大家做好 IPv6 安全防护有所帮助。

1、建立自主可控完备高效的 IPv6 安全防护网络需要从标准、应用、端、管、云及各行各业的共同努力，特别是 IPv6 编址、精确溯源等方面需要政府主导规范、行业间共建共享。

2、IPv6 协议栈稳定会有一个过程，随着支持 IPv6 应用逐步上线，用户流量上一定规模，会有新一轮新形式的 IPv6 攻防对抗，特别是在业务风控、防 DDoS、IPv6 协议漏洞挖掘等方面。

3、IPv6 随着政策牵引以及 5G、IoT、云计算等对于 IP 地址需求大的业务不断成熟，会迎来一个快速发展期，IPv6 安全产品及检测防护升级需要重点投入并提前 READY，确保新一代 IPv6 网络安全风险可控。