IPv6环境下校园网安全防护技术研究与应用

◆高浪 马峥

IPv6环境下校园网安全防护技术研究与应用

◆高浪 马峥

（中国地质大学（武汉）信息化工作办公室 湖北 430074）

随着近年来高校IPv6网络建设快速发展，各高校围绕校园网IPv6部署、IPv6应用资源建设、双栈协议转换、IPv6与物联网5G网络融合等方面开展了一系列工作。IPv6环境下的网络安全问题也得到日益关注。本文以IPv6环境下校园网安全防护技术为研究对象，介绍了高校面临的网络安全威胁现状，分析当前IPv6安全防护技术，并结合高校实际环境探索了高校场景下相关技术的应用。

网络安全；IPv6；校园网；安全防护

随着移动互联网、物联网、工业4.0等新兴产业迅速发展，现今互联网（IPv4）地址已分配殆尽，而下一代互联网（IPv6）拥有128位的IP地址长度，广阔的网络地址空间完全满足发展需要。

IPv6经过二十多年的发展，目前IPv6技术应用完全成熟，已经成为全球通用标准，具备较高的机密性和完整性。

1 校园网IPv6发展现状

教育部于2018年年底印发了《关于贯彻落实《推进互联网协议第六版（IPv6）规模部署行动计划》的通知》，通知就加快教育系统推进IPv6 基础网络设施规模部署和应用系统升级，促进下一代互联网与教育的融合创新，推进IPv6 规模部署的实施等工作提出了具体要求。

根据教育部2021年3月发布的《高等学校数字校园建设规范（试行）》要求，高校校园主干网应支持IPv4和IPv6双栈部署，数据中心应支持IPv4和IPv6双栈运行。将IPv6建设纳入规范是国家IPv6发展战略的要求，也是高等学校数字校园建设的实际需要。

当前各高校校园网基本已完成IPv6部署。校园网核心网络、出口网络、汇聚网络、接入网络、数据中心网络、物联网全面支持IPv4和IPv6双栈运行。校园部分区域试点部署了纯IPv6网络环境。校园网全面支持IPv6用户终端接入。学校门户网站、线上学习资源和重要信息系统均全面支持IPv6访问。

随着IPv6技术的快速普及和大规模的使用，IPv6的网络攻击数目也呈逐步增长的趋势，一些新型的攻击方式也逐渐出现。基于IPv6安全的研究相对起步较晚，各种安全防护设备应对IPv6网络攻击的经验和能力尚未经过市场的大面积检验。这些给校园网的安全工作提出了更高要求。

2 IPv6带来的安全挑战

当前IPv6网络给高校网络安全工作带来的挑战。具体表现以下几个方面：

2.1 IPv6网络设计

IPv6网络规划设计的同时需要同步做好安全建设。主要涉及网络设备的IPv6安全配置、IPv6地址规划和使用分配、IPv6的路由设计、IPv6访问控制、IPv6安全策略、IPv6环境下的DDoS防护等

2.2 安全产品的IPv6升级

校园网内安全设备需要全面支持IPv6协议的识别和安全防护，支持IPv6病毒库、特征库、威胁情报的升级，支持IPv6海量地址的日志记录和行为审计。

2.3 IPv6协议栈安全

IPv6端端直连、邻居发现协议、DHCPv6协议、无状态地址自动配置、IP级AH（Authentication Header）和ESP（Encapsulating Security Payload）标记等IPv6协议栈独有技术的安全问题。

2.4 终端安全

全面支持有状态IPv6地址接入终端、无状态IPv6地址接入终端的认证、鉴权、审计和攻击溯源。支持IPv6终端的安全扫描和终端漏洞监测。

2.5 威胁情报

当前网络安全行业，关于IPv6攻击态势、IPv6攻击分布、IPv6威胁预警等威胁情报数据的收集发布工作相较传统IPv4还存在很大提升空间。

2.6 过渡期安全

在从IPv4向IPv6过渡的过程中，校园网管理员面临着很多信息安全策略调整，一些攻击者可使用IPv6地址空间来向IPv4网络发起攻击。

IPv4/v6双栈、隧道、互通翻译等过渡技术方案，也带来了一些安全问题和网络攻防技术变化。

2.7 IPv6相关漏洞

IPv6环境中的攻击大量针对的是传输层和应用层的安全漏洞，攻击主要集中在城域网和高校校园网。IPv6相关漏洞总体呈现攀升趋势，值得持续关注。

3 IPv6网络安全防护技术

目前IPv6网络安全防护技术主要涉及：可信校园网、应用安全、主动防御等几个方面。

3.1 IPv6可信校园网技术

建设IPv6环境下的可信校园网，主要涉及三个方面。

（1）服务器和终端安全

提升服务器用户终端的安全防护等级，主要涉及：操作系统漏洞扫描、补丁发布和安全加固技术、云平台安全；接入认证、鉴权、审计技术；支持IPv6协议的上网行为管理技术，IPv6地址分配管理技术。

（2）网络安全

提升网络级别的安全防护。涉及安全网关（路由器ACL，包过滤防火墙和代理）、入侵检测防御系统、支持IPv6 DDoS防护技术等。

（3）信息安全

校园网信息安技术主要涉及：IPv6环境的数据泄露防护技术、数据库防护技术、大数据平台安全、数字证书、商业密码等。

3.2 IPv6应用安全防护技术

提供应用级别的安全防护。涉及网络应用威胁模型（包括客户端和服务器端）、IPv6资产互联网暴露面监测技术、IPv6应用入侵检测和防护技术、IPv6配置核查、WEB扫描、流量清洗、IPv6邮件网关等。

3.3 IPv6主动防御技术

充分利用安全联动技术、蜜罐技术、动态防御技术构建主动安全防御体系。感知基于IPv6的网络攻击行为，实现“攻击感知精准化、攻击过程可视化”，并通过攻击行为反向推进传统基于特征库的WAF、IPS等设备的升级和优化，整体提高面对IPv6网络功能的检测、阻断和应急处置能力。

4 IPv6网络安全防护技术应用

IPv6网络安全防护技术应结合高校实际情况应用。围绕“一个中心，三重防护”建设防护体系。

4.1 在校园网安全体系建设中的应用

校园网部署全面支持IPv6的安全态势感知平台、安全管理平台、网络与IT资产管理平台、安全日志审计平台。

具备对IPv6入网资产、终端、网络设备、安全设备，统一管理、统一监控能力；对IPv6流量、IPv6网络行为、IPv6威胁攻击，统一审计、综合分析且协同防护能力。

4.2 在校园物联网建设中的应用

校园物联网接入终端数量大、分布广、种类多。在校园物联网中使用IPv6地址很好的解决传统IPv4网络的不足。

多业务物联网的IPv6部署；实现物联网终端即插即用，无感准入；实现物联网终端可视化管理；实现物联网终端入网可控，哑终端自动上线；实现针对物联网终端的IPv6地址管理；实现分级分权管理；实现业务系统隔离，提高信息安全。

4.3 在校园5G专网建设中的应用

可利用二次鉴权技术，使运营商5G网络与学校IPv6网络本地在可信、安全的前提下，实现互联互通。可灵活利用IPv6网络和5G网络构建跨地域的安全虚拟校园网。

5 结束语

IPv6规模应用为解决网络安全问题提供了新平台。IPv6网络安全建设是国家网络安全和教育信息化中的重要一环。IPv6技术创新与网络安全防护技术相结合，将会不断创新校园网安全保障手段，不断完善校园网安全保障体系。

[1]IPv6环境下的网络安全观察[J].信息安全与通信保密，2019（08）：87-94.

[2]朱慧.高校IPv6网络安全风险及其应对策略研究[J].网络安全技术与应用，2021（07）：98-100.

[3]冯骐.校园网IPv6终端的MAC地址追溯[J].中国教育网络，2021，264（04）：51-52.

[4]杨凯，罗玉盘，刘志宏.IPv6在校园网安全防护中的应用[J].电子技术，2021，50（06）：48-49.

[5]覃德泽，李立信.高校智慧校园网中物联网、5G、云计算及IPv6的融合问题探讨[J].网络安全技术与应用，2019，228（12）：104-106.