互联网发展到现在,安全问题始终与其息息相关。目前正在广泛应用的IPv4互联网协议设计是假定用户自律,位于彼此信任的小规模、封闭网络环境中,因此没有内置相关的安全机制,也没有考虑开放环境下操作系统和应用的安全问题。互联网的脆弱性表现在设计、实现、运行管理的各个环节,中间节点对传输数据包的来源不验证、不审计,导致地址、身份被假冒,垃圾信息泛滥,大量的入侵和攻击行为无法跟踪,难以溯源;用户个人信息或关键数据在网络上存储和传输都会面临风险,互联网中的数据系统、业务系统常常遭到攻击,这种情况导致当前的互联网面临层出不穷的安全威胁。IPv4互联网中解决安全问题的方式是通过各种安全技术“打补丁”,增强数据完整性、身份鉴别、访问控制等方面的安全性。以 IPv4协议为核心技术的互联网面临着日趋严峻的挑战,具体表现为网络可扩展性差、地址匮乏和路由表不断膨胀;网络不可控、不可管、没有感知和测量功能,服务质量无法得到保证等。IPv6下一代互联网协议是解决目前互联网在扩展性、高性能实时性、移动性、安全性、易管理和经济性等方面问题的主要手段,IPv6下一代互联网协议是一种典型的协议安全增强技术。IPv6通过IPSec为网络中的每个节点提供数据源认证、完整性保护和加密机制,还可以使节点有能力抵抗重放攻击。IPsec通过两个扩展报头,即认证头(AH)和封装安全载荷(ESP)将安全机制内嵌在协议之中。其中AH实现了保护数据完整性(即不被非法篡改)、数据源发认证(即防止源地址假冒)和抗重放攻击3个功能,而ESP则在AH所实现的安全功能基础上增加了对数据保密性的支持。
现有互联网IP地址尤其是B类地址资源接近枯竭,连入因特网的子网数目急剧增长,导致因特网路由表的爆炸性增长,为了支撑物联网、移动网络等下一代互联网应用的发展,IPv6下一代互联网协议扩大了对IP地址空间的范围,同时增强了对流媒体、P2P等应用的高网络带宽支持。
随着我国信息化进程的快速推进和IPv6下一代互联网技术的迅速发展,面向IPv4网络的传统安全技术,包括防火墙包过滤技术、入侵检测技术及网络隔离与信息交换技术等,都已经无法满足下一代互联网的技术要求。在网络适应性方面,传统的IPv4边界防护技术缺乏面向IPv6网络协议的支持能力,无法解析和处理IPv6报文,不支持邻居发现(ND)、ICMPv6和扩展报头等新特性,不能适应纯IPv6、IPv4/IPv6混合网络的应用环境。在安全防护功能方面,传统的IPv4边界防护设备不能有效执行IPv6下一代互联网环境下的地址转换、包过滤、应用代理、内容过滤、身份认证、加解密等安全功能,面向IPv4的传统安全隔离与信息交换技术不具备IPv4与IPv6的过渡能力,缺乏针对IPv6地址、认证头(AH)、封装安全载荷(ESP)等 IPv6报文的安全处理能力,无法实现IPv6与IPv6、IPv4与IPv6网络间的网络隔离与信息内容过滤。在性能方面,下一代互联网对网络带宽的要求大幅提高,骨干网络带宽从千兆位向万兆位、100Gb 发展,同时,IPv6下一代互联协议IPv6基本报头被固定为40bit,使网络设备可以加快对数据包的处理速度,提高了转发效率,从而提高网络的整体吞吐量,使信息传输更加快速,安全隔离与信息交换系统需要适应这种需要,从硬件设计、协议栈处理等方面优化对 IPv6报文的处理性能,充分发挥 IPv6的性能优势,适应未来网络带宽高速增长情况下的网络转发能力。
虽然IPv6下一代互联网协议考虑到了IPv4的安全问题,设计了端到端的新安全机制,但IPv6也带来了更多的安全风险。首先,IPv6的新安全机制是为了让IPSec的实施更便利,允许IPSec运行得更好而已,但它也只是提供了一种便利,并不是说IPv6本身会更安全。其次,网络节点大量使用端到端的加密方式,会对目前基于报文解析、内容扫描的安全体系造成严重影响,尤其是对安全隔离与信息交换系统的工作机制产生重要影响。最后,IPv6在设计上仍存在缺陷,Any-cast服务、路由头协议、Internet控制消息协议第6版(ICMPv6)、碎片包、无状态地址自动配置(SLAAC)和巨大地址数量都可能给下一代互联网带来潜在安全威胁。
面对信息网络不断朝IPv6下一代互联网协议演进的趋势及IPv6带来的新安全形势与威胁,安全隔离与信息交换系统必须进行全新的设计以应对下一代互联网对网络隔离与信息安全交换的需求,支持 IPv4向 IPv6的网络过渡,支持IPv6网络环境下访问控制、身份鉴别及数据内容过滤,优化IPv6网络报文的应用代理转发性能与隔离摆渡交换性能,确保把有害的攻击隔离在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网络之间的数据安全交换。
安全隔离与信息交换系统结构安全可靠,具备强大的抗攻击性,作为新一代网络安全边界防御技术已经逐渐成为我国信息化建设的核心边界防护产品,尤其是在下一代互联网应用中,面对新增协议类型的安全风险不确定性,更需要采用强隔离技术手段建立IPv4与IPv6网络域隔离及IPv6环境下的不同域间隔离,增强可信网络的保护能力。下一代互联网的主要应用包括基于IPv6的物联网、移动互联网、云计算、三网融合、视频播客等,这些应用必须满足同时对各类IPv4、IPv6客户端、机顶盒、手机、PDA、物联传感设备等终端设备提供可信接入的安全措施,既实现数据的交换,又有效防止针对应用系统及核心业务网络的各类3~7层的网络攻击,而安全隔离与信息交换系统的技术原理具有独特的安全特性,能够满足用户的边界安全接入要求,包括国土资源视频监控、移动办公、数字城市、移动支付、移动警务、电子警察等应用都纷纷采用安全隔离与信息交换技术实现网络边界安全控制,随着IPv6的下一代互联网发展,越来越需要具有IPv4和IPv6互联互通能力的安全隔离与信息交换设备。
本章首先对下一代互联网的背景进行描述,简要介绍下一代互联网的发展情况、IPv6协议的技术特点及下一代互联网面临的安全威胁,还分析了传统安全技术的优缺点及应用下一代安全隔离与信息交换系统的必要性。使读者从宏观上对下一代互联网安全隔离与信息交换系统的应用场景有充分的认识,为下个章节介绍具体的技术细节奠定基础。