九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

阿里巴巴集團(tuán)高級安全專家   程榮

      阿里巴巴集團(tuán)高級安全專家程榮在2018 ISC互聯(lián)網(wǎng)安全大會上分享了阿里云IPv6的實踐。在演講中，程榮講述了全球IPv6發(fā)展趨勢及國內(nèi)政策要求，分享了阿里巴巴集團(tuán)IPv6升級面臨的挑戰(zhàn)和安全威脅，以及阿里巴巴集團(tuán)IPv6改造和安全解決方案。   

　　程榮提到，阿里巴巴的整個業(yè)務(wù)生態(tài)在落實國家IPv6政策的實踐過程中，碰到了一些問題，一是在IPv6規(guī)?；渴鸬那闆r下做好IPv6安全，它的核心是如何在成本最低情況下實現(xiàn)效率最高，同時保證自主可控；二是在實施IPv6安全方案時，如何讓安全不影響用戶的體驗的同時能夠做到快速檢測。

　　阿里在IPv6升級部署時面臨著很多挑戰(zhàn)，首先涉及IPv6企業(yè)核心網(wǎng)絡(luò)改造，包括IPv6協(xié)議棧、網(wǎng)關(guān)、網(wǎng)絡(luò)設(shè)備、路由管理、地址編制分配等都需要從IPv4轉(zhuǎn)移到IPv6，改造量非常巨大。其次，經(jīng)過十幾年同網(wǎng)絡(luò)黑灰產(chǎn)的對抗，已經(jīng)具備完備的IPv4安全體系，在IPv6網(wǎng)絡(luò)下安全問題包括IPv6地址濫用、不全配置、IPv6用戶仿冒、應(yīng)用安全漏洞等等，這些問題該怎么防護(hù)？這涉及的改造量也非常巨大。另外IPv6升級還涉及到運(yùn)營商基礎(chǔ)網(wǎng)絡(luò)、同互聯(lián)網(wǎng)的對接以及各企業(yè)之間的協(xié)同，其中的工作量也是非常巨大的。因此，IPv6不僅是網(wǎng)絡(luò)層的改造，還是對IT基礎(chǔ)設(shè)施的改造，更是整個生態(tài)能力的提升，是牽一發(fā)而動全身的事情。

　　在IPv6升級改造的過程中，安全面臨著哪些威脅？他認(rèn)為有八大挑戰(zhàn)。

　　第一，IPv6協(xié)議棧安全。針對IPv6協(xié)議特點進(jìn)行的攻擊有分片攻擊、擴(kuò)展頭攻擊、NDP攻擊等。終端會涉及到用戶仿冒，運(yùn)營商會給終端用戶分配地址，如果地址不能溯源或者被惡意分子利用，很可能會做很多壞事。

　　第二，IPv6安全檢測及掃描。IPv6擁有 128位地址空間，地址空間變大使得實施IPv6掃描非常困難，但是IPv6地址如果易仿冒，安全監(jiān)控和防御都有了新的挑戰(zhàn)。

　　第三，IPv6 DNS安全。在掃描困難的情況下公共節(jié)點可能會成為優(yōu)先攻擊的目標(biāo)。

　　第四，IPv6 DDoS防護(hù)及黑洞。DDoS防護(hù)涉及IPv6編址標(biāo)準(zhǔn)、IPv6黑洞支持，需要多部門配合聯(lián)動，挑戰(zhàn)很大。IPv6地址分配會涉及到國家、運(yùn)營商、教育網(wǎng)還有企業(yè)IPv6編址及分配規(guī)范。而DDoS防護(hù)，用戶IPv6地址空間增大對于攻防雙方是把雙刃劍，清晰統(tǒng)一的編址、精確溯源可以降低DDoS防御的成本與效率。

　　第五，IPv6業(yè)務(wù)風(fēng)控。IPv6地址是很關(guān)鍵的一環(huán)，如何精準(zhǔn)快速區(qū)分惡意用戶及溯源，防止薅羊毛、作弊、欺詐等？

　　第六，IPv6安全產(chǎn)品改造。協(xié)議棧升級以及地址相關(guān)的策略及邏輯改造面大，成本高?，F(xiàn)在的安全產(chǎn)品整體要實施改造，需結(jié)合各自安全產(chǎn)品業(yè)務(wù)邏輯判斷升級改造，特別是和IP地址相關(guān)的安全數(shù)據(jù)、情報、掃描探測等相關(guān)邏輯，對于企業(yè)來說成本還是非常高的。

　　第七，IPv6網(wǎng)絡(luò)安全。IPv6地址空間大，做好規(guī)劃及地址分配策略，同時網(wǎng)絡(luò)訪問控制及隔離、掃描都要配套升級。IPv6地址空間帶來的一些限制，使得掃描和監(jiān)控檢測都非常困難，這也是一個比較大的挑戰(zhàn)。

　　第八，IPv6過渡技術(shù)安全。在IPv6規(guī)模部署過程中會涉及到過渡技術(shù)，包括隧道、翻譯、IPv4/IPv6雙棧技術(shù)等，這些過渡技術(shù)的安全控制并不完善，需要結(jié)合其他方案綜合控制風(fēng)險。

　　目前阿里巴巴的IPv6 DNS、IPv6 CDN、 IPv6 SLB 、IPv6轉(zhuǎn)換服務(wù)已經(jīng)上線，包括RDS和OSS已經(jīng)發(fā)布，網(wǎng)絡(luò)設(shè)備的選型、升級線路的改造。即將上線的還有ECS，云安全/服務(wù)等，另外阿里的業(yè)務(wù)整個生態(tài)中包括淘寶、天貓、螞蟻金服、支付寶等都支持IPv6的訪問，還有優(yōu)酷等也即將支持IPv6。

　　在網(wǎng)絡(luò)做完整個改造之后，安全也會做相關(guān)的配套升級。對于整個改造方案，從互聯(lián)網(wǎng)企業(yè)的安全架構(gòu)來看，程榮表示，需要改造的有系統(tǒng)層、存儲層、網(wǎng)絡(luò)層、應(yīng)用層等。系統(tǒng)層涉及到了協(xié)議棧的加固，IPv6服務(wù)端口最小化開放、IPv6協(xié)議掃描及漏洞監(jiān)測；存儲層包括IPv6地址庫數(shù)據(jù)，積累黑灰產(chǎn)惡意IPv6數(shù)據(jù)，如果同AI結(jié)合還涉及到規(guī)則算法模型也要做改造。在網(wǎng)絡(luò)層，包括網(wǎng)絡(luò)設(shè)備IPv6安全配置加固、訪問控制的隔離，IPv6黑洞路由防DDoS，網(wǎng)絡(luò)掃描；應(yīng)用層涉及到WAF、CC防御、反爬蟲、業(yè)務(wù)風(fēng)控等。阿里會隨著IPv6改造的進(jìn)程，同時去部署、加固、落地安全解決方案,目的是為客戶提供一個安全可控、高效便捷、體驗更好的服務(wù)。

　　對于IPv6的未來，它的安全會怎么走？程榮表示，第一，要建立自主可控的、完備高效的IPv6安全防護(hù)網(wǎng)絡(luò)，需要標(biāo)準(zhǔn)、應(yīng)用、端、管、云及各行各業(yè)的共同努力，這件事情不做在前面對于各行業(yè)的防控都是不利的。

　　第二，IPv6的協(xié)議棧穩(wěn)定會有一個過程，隨著支持IPv6的應(yīng)用逐步上線，用戶流量上一定規(guī)模，會有新一輪形式的IPv6攻防對抗，特別是在業(yè)務(wù)風(fēng)控、防DDoS、IPv6協(xié)議漏洞挖掘等方面。

       第三，隨著政策的牽引以及5G、IoT、云計算等對于IP地址需求大的業(yè)務(wù)的發(fā)展，IPv6安全產(chǎn)品及檢測防護(hù)升級需要及時準(zhǔn)備好，確保安全風(fēng)險可控。

（本文刊登于《中國教育網(wǎng)絡(luò)》10月刊，本文根據(jù)程榮在2018 ISC互聯(lián)網(wǎng)安全大會上的發(fā)言整理而成，整理：楊燕婷）