【IT168 资讯】2013年8月，国家发展改革委于发布了“关于开展国家下一代互联网示范城市建设工作的通知”的文件，同时公布了下一代互联网建设的试点城市、工作方案和考核体系。IPv6网络商用建设的大幕正式开启，大规模的IPv6网络迁移改造工程即将在全国各地开启。如何使当前互联网业务平滑、安全地迁移到下一代互联网，成为政府、网络运营商、企业和用户共同关注的问题。早在下一代互联网大浪潮到来之前，天融信公司通过产品、技术上不断积累，持续加大在网络安全、应用安全、内容安全等方面的研究投入，集中骨干力量研发出适用于下一代互联网的安全设备。

　　天融信网关产品线全线产品通过全球IPv6 Forum 组织授权的IPv6 Ready 金牌认证，至此天融信成为国内第一家全线网关安全产品通过IPv6领域优异认证的安全设备供应商，表明天融信已具备为IPv6网络改造和建设提供网络安全整体解决方案的能力。天融信可以为IPv6网络建设提供通过IPv6 Ready金牌认证的TopGate系列UTM产品、NGFW4000/NGFW4000-UF系列防火墙产品、TopVPN系列VPN产品、TopIDP系列IDP产品和TopFilter系列病毒过滤网关产品，为用户提供完整的边界网络安全解决方案。

　　1、国内IPv6网络改造及面临的安全问题

　　随着IPv4网络逐步向IPv6网络过渡，过渡过程中的安全问题不容忽视，其中面临的最主要问题是服务平滑迁移和新的安全威胁防护：

　　● 恶意的IPv6流氓路由通告(RA)

　　对传统的IPv4防火墙来说，默认情况下IPv6流量是被忽略的，此时攻击者可以通过发送IPv6 RA增加恶意的IPv6路由，使得IPv4网络内的主机与恶意IPv6路由一起构建一个IPv6网络，攻击者通过这个未经授权的IPv6网络执行一些探测、扫描行为，可以从容选择攻击对象、设计攻击方案，这为现有IPv4网络带来巨大的安全风险;另外IPv6终端获取IPv6地址的方式之一是通过接收IPv6网络中的IPv6路由器公告的RA来生成，攻击者可以在链路上公布恶意的IPv6 RA，IPv6客户端收到RA后生成IPv6地址，并将默认路由指向攻击者发布恶意IPv6 RA的恶意主机。这样，攻击者既可以获知链路上各IPv6客户端的在线情况，也可截获、分流、镜像流量非法获得数据导致信息泄露。对于特定的IPv6主机，攻击者还可以发起针对网络、系统和应用服务DoS攻击。

　　● VPN Bypass安全问题

　　在IPv4/IPv6的网络环境中，都存在VPN Bypass的安全问题。所谓VPN BYPASS就是VPN加密通道被绕过，数据不通过IP层和应用层加密数据来传输，数据在网络上的传输是明文的。通常来说，通过IPv4创建的IPsec VPN通道，仅对一定范围内的IPv4流量做加密传输，所有的IPv6流量都是明文传输的，某些服务在IPv6启用的情况下优先使用IPv6协议传输，这时数据传输的机密性和完整性被破坏;同理，通过IPv6创建的IPsec VPN通道只会加密IPv6流量，对于IPv4流量来说也将暴露在嗅探者的攻击范围内。VPN技术特点决定了当前VPN解决方案面临的VPN Bypass安全问题。

　　●通过IPv6传输的病毒、恶意代码和木马

　　在内容安全方面，IPv6网络面临和IPv4网络一样的问题——数据泄露、数据篡改、病毒威胁等等。IPv6协议的使用并没有改变主机面临的数据安全问题，病毒程序、恶意代码、木马程序仍然可以通过IPv6协议传输。随着IPv6网络逐渐成熟，针对终端主机的各种恶意程序也会演进自己的传播方式，通过IPv6协议作为IP层的传输媒介。

　　● IPv6网络、系统、应用服务的漏洞利用

　　随着支持IPv6协议的网络终端数量快速增加，以及IPv6本身的普及度正在稳步提高，IPv6DDoS攻击在广泛性及出现比例方面将随时间推移而逐步上升。尽管目前来看IPv6所遭受的攻击频率相对较低、损失也较小，但随着普及度的逐渐提高，攻击者们也将迅速跟上，并带来更多令人头痛的安全难题。

　　2、天融信下一代网络安全整体解决方案

　　天融信在针对IPv6网络环境安全解决方案中推荐使用TopIDP对检测和拦截各种IPv4、IPv6的攻击行为，使用NGFW4000/NGFW4000-UF系列防火墙、TopVPN系列VPN产品和TopFilter系列病毒过滤网关产品保障基本的网络安全、接入安全和内容安全，全方面提供适用IPv6网络环境的安全防护功能。同时可部署IPv4/IPv6 TopPolicy产品，TopPolicy用于网络安全设备的集中管理，通过一个简单易用的Web管理界面实现对整体IPv4、IPv6网络中安全策略的统一部署、分发和监控。通过TopPolicy能够集中定义防火墙和VPN的策略，批量分发到应用的设备，这样的机制可保障大型网络管理的效率，大大减少管理员的工作负荷。同时通过TopPolicy能够为TopIDP、TopFilter提供了监控功能，对网络应用流量、网络攻击统计、病毒木马等威胁信息以图形化的方式呈现，帮助管理员最全面的了解整个网络。