IPv6網絡時代已經到來，由于我國IPv4地址資源匱乏，除了采用CIDR、VLSM和DHCP技術緩解地址緊張問題，更多的是采用私有IP地址結合網絡地址轉換(NAT/PAT)技術來解決這個問題，從根本上看，互聯(lián)網可信度問題、端到端連接特性問題以及非強制IPSec加密而帶來的安全性等問題，使IPv4網絡面臨各種威脅，IPv6網絡的全面升級已勢在必行；與此同時，適應IPv6網絡的安全產品（例如防火墻、IPS、UTM、流控產品等）少之甚少，而IPv6安全解決方案幾乎為空白。聯(lián)想網御公司倡導"下一代網絡安全架構"先進性安全理念，掌握眾多核心技術，率先進入IPv6網絡安全時代。

一、 聯(lián)想網御VSP平臺完美支持IPv6技術

VSP（Versatile Security Platform）安全平臺是聯(lián)想網御公司自主創(chuàng)新的高性能實時系統(tǒng)平臺，通過將實時操作系統(tǒng)、網絡處理、安全應用等技術完美地結合，使聯(lián)想網御多款產品如防火墻、IPS、UTM、VPN等安全設備具備了高智能、高性能、高安全性、高健壯性、高擴展性等特點。與此同時，聯(lián)想網御多年來一直在研究IPv6技術的演進趨勢，并早在2005年就已投入IPv6在網絡信息安全的預研技術力量。經過幾年的深入研究與探索，聯(lián)想網御結合VSP平臺優(yōu)勢，完美融合IPv6技術，已經支持IPv6環(huán)境下的狀態(tài)包過濾、靜態(tài)路由、OSPF動態(tài)路由、FTP ALG等基本安全業(yè)務，并支持 IPv6/v4 雙協(xié)議棧功能，設備在同一網絡中同時支持 IPv4 和IPv6協(xié)議，聯(lián)想網御VSP平臺針對IPv6的特點如下：

(1)　Side-to-Side安全保證：在兩端主機上對報文進行IPSec封裝，中間安全網關設備實現(xiàn)對有IPSec擴展頭的IPv6報文進行透傳，實現(xiàn)端到端的安全；

(2)　Inside安全保密：當內部主機與因特網上其他主機進行通信時，通過IPv6擴展頭中提供的路由頭和逐跳選項頭結合應用層網關技術來實現(xiàn)。實現(xiàn)方式更加靈活，完善內部網絡安全；

(3)　Tunnel-Inside實現(xiàn)網絡安全：通過隧道嵌套的方式可以獲得多重的安全保護。當配置了IPSec的主機通過安全隧道接入到配置了IPSec網關的安全設備，并且該安全設備作為外部隧道的終結點將外部隧道封裝剝除時，嵌套的內部安全隧道就構成了對內部網絡的安全隔離，實現(xiàn)了隧道嵌套方式安全保護。

二、 聯(lián)想網御IPv6安全產品成功應用某高校

2008年8月，國家發(fā)改委在其網站上公布了下一代互聯(lián)網業(yè)務試商用及設備產業(yè)化專項的通知。通知指出："為積極、穩(wěn)妥推動我國下一代互聯(lián)網業(yè)務應用和產業(yè)發(fā)展，將組織實施下一代互聯(lián)網業(yè)務試商用及設備產業(yè)化專項"。按照CNGI項目規(guī)劃，CERNET2將接入100所以上的著名高校，開展科研應用和大規(guī)模IPv6網絡建設和部署實施的探索。隨著高校中IPv6網絡建設日趨完善，對IPv6網絡上的安全需求也日益迫切，支持IPv6的網絡安全產品（如防火墻、UTM、IPS等）日漸得到關注。聯(lián)想網御結合IPv6技術特點，及時推出IPv6高性能安全網關產品系列，在多所高校成功應用，保障了大學的IPv6網絡。

某市著名大學是一所具有90多年歷史的以工為主、工理經管文法結合、多科性協(xié)調發(fā)展的國家教育部直屬重點綜合性大學。學?，F(xiàn)有專任教師2000余人，全日制在校生23000余人，該大學網絡特點和需求如下：

出口搭建的IPv6視頻服務器未受保護；

擁有兩個網絡出口，分別為500M的電信出口及教育網出口；

學校面臨的攻擊較多，主要受到的攻擊方式為ARP病毒攻擊和DDOS流量型攻擊；

IPv6網絡流量模型比較特殊：小包報文比例較大，單個用戶的并發(fā)連接數比較高、UDP報文在總流量中占比例較多等。

聯(lián)想網御針對大學網絡特點，設計開發(fā)了基于IPv6網絡安全的方案：

某高校IPv6應用拓撲

在出口處實施聯(lián)想網御多核萬兆安全網關，配置基于IPv6狀態(tài)包過濾策略，添加PCP端口策略，開啟抗攻擊模塊，開啟日志審計模塊，開啟SNMP協(xié)議；

通過全網監(jiān)控，對IPv6網絡流量進行實時監(jiān)控，使設備安全穩(wěn)定運行。

三、下一代網絡技術藍圖

隨著IPv6網絡安全研究和遷移工作的深入，端到端的身份識別與數據加密將是對安全的全新挑戰(zhàn)，而IPv6安全領域技術的發(fā)展將進一步激發(fā)互聯(lián)網創(chuàng)新信息化社會的潛能，基于此，聯(lián)想網御公司提出了"構筑IPv6網絡云防御體系"的發(fā)展愿景，針對IPv6網絡建設和過渡時期的網絡安全風險的分析，提出了IPv6網絡安全保障體系的基本架構，并給出了現(xiàn)階段IPv6網絡安全體系的構建策略，通過靜態(tài)VSP系統(tǒng)平臺保障以及動態(tài)網關部署安全的結合，配套完善的安全組織和策略體系，提升IPv6網絡整體安全水平，達到網絡安全縱深防御的目標，形成安全可管可控可信的高安全IPv6網絡架構。

聯(lián)想網御將與產業(yè)同仁緊密合作，在IPv6過渡技術的探索和應用方面，共同推動下一代網絡安全解決方案的藍圖，早日實現(xiàn)互聯(lián)網向IPv6的遷移，支撐我國建立信息化的產業(yè)優(yōu)勢。

【編輯推薦】

1. 聯(lián)想網御發(fā)現(xiàn)Adobe產品漏洞
2. 聯(lián)想網御:基于云安全的UTM系統(tǒng)
3. 聯(lián)想網御實名制網絡內容審計解決方案
4. 聯(lián)想網御SSL VPN為江蘇郵政應用提供完美支撐