美國行政管理和預算局的最新備忘錄要求，2025年前實現至少80%的純IPv6網絡升級，無法升級的基礎設施將逐年淘汰。

　　部署IPv6過程中，最大的威脅就是專業操作知識的缺乏。IPv6作為新協議，很多實施過程中的Bug還未被發現和修復，且很少有人具備安全運行IPv6網絡所需的專業安全知識。

　　為實現IPv6安全，美國聯邦政府備忘錄要求確保將生產環境全面支持IPv6納入IT安全計劃、架構和采購中。

　　在雙棧網絡中，除了要考慮IPv4和IPv6共存時兩者之間交互及轉換的安全因素外，還需要考慮兩者的安全實現。

　　一、美國政府全面轉向IPv6協議

　　2020年11月19日，美國行政管理和預算局簽發了關于全面過渡到IPv6協議的備忘錄（M-21-07），旨在推進聯邦機構的IPv6全面升級。該備忘錄從基礎設施、采購要求、USGv6計劃、網絡安全等角度介紹了聯邦政府對IPv6業務部署和使用的指導，其戰略意圖是讓聯邦政府使用純IPv6（IPv6-only）提供信息服務、運營網絡和訪問其他服務。該備忘錄特別指出，同時支持IPv4和IPv6的雙棧方案由于運維過于復雜，長遠來看是不必要的路徑。

　　選擇純IPv6部署能夠降低復雜性和運營成本，現在看來已日趨明朗化。該備忘錄為美國聯邦政府網絡的純IPv6升級設置了行動計劃和時間表，備忘錄要求2023年前實現至少20%的純IPv6網絡升級，2024年前實現至少50%的純IPv6網絡升級，2025年前實現至少80%的純IPv6網絡升級，無法升級的基礎設施將逐年淘汰。

　　本文將闡述美國聯邦政府轉向IPv6的歷史背景、過渡的具體要求以及未來的規劃目標，以及聯邦政府對IPv6的安全要求，介紹了IPv6部署實施時可能遇到的安全問題。

　　1、歷史背景

　　IP地址是全球唯一的數字標識符，用于區分在互聯網上進行通信的各個實體。隨著連接到互聯網上的用戶、設備和虛擬實體數量的不斷增加，全球對IP地址的需求成倍增長，導致世界上所有地區的IPv4地址消耗殆盡。隨著時間的推移，人們開發了許多技術和經濟上的權宜之計，試圖延長IPv4的使用壽命，但所有這些措施都增加了網絡基礎設施的成本和復雜性，并為創新帶來了巨大的技術和經濟阻礙。

　　IPv6是下一代互聯網協議，旨在取代自1983年以來一直使用的IPv4。人們普遍認為，全面過渡到IPv6是確保互聯網技術和服務未來增長和創新的唯一可行選擇。美國聯邦政府將擴大和加強向IPv6過渡的戰略承諾，以適應行業趨勢。

　　從2005年開始，聯邦政府的IPv6計劃為IPv6技術的商業開發推廣起到了重要的催化作用。2005年8月，美國行政管理和預算局發布了M-05-22《互聯網協議版本6（IPv6）過渡規劃》，要求各機構在2008年6月30日前在其骨干網上啟用IPv6，該政策概述了部署和采購要求。2010年9月，行政管理和預算局發布了題為“向IPv6過渡”的備忘錄，要求聯邦機構為公共互聯網服務器和與公共服務器通信的內部應用程序實際部署“原生IPv6”（指在系統或服務中直接支持IPv6，而無需通過IPv4進行基本通信）。具體而言，2010年備忘錄要求各機構在2012財政年度結束前，將面向公眾/外部的服務器和服務（如網絡、電子郵件、DNS、ISP服務）升級為實際使用原生IPv6；并在2014財政年度結束前，將與公共互聯網服務器通信的內部客戶端應用程序和企業支撐性網絡升級為實際使用原生IPv6。

　　在過去的5年里，IPv6在產業界的發展勢頭急劇上升。目前，出于降低成本、降低復雜性、提高安全性和消除網絡信息系統創新障礙的考慮，在許多商業領域（例如大型網絡運營商、軟件供應商、服務提供商、企業、國家政府和外國政府）已經部署了大量IPv6基礎設施。

　　許多組織已經或正計劃遷移到“純IPv6”基礎架構（NIST USGv6 Profile定義了產品在純IPv6環境中運行的技術要求），以減少維持兩種不同網絡體系帶來的運營問題。對于公共互聯網服務來說，前端基礎設施可能需要保留IPv4接口和過渡機制很長時間，但這并不排斥后端基礎設施在純IPv6環境下運行。

　　2、具體要求

　?。?）準備純IPv6基礎設施

　　美國行政管理和預算局曾發布政策，討論了各機構在可預見的未來運行雙棧（IPv4和IPv6）的前景；然而近年來，這種方法顯得過于復雜、難以維持、并且沒有必要。因此，標準機構和領先的技術公司開始向純IPv6部署的方向遷移，以消除運行兩種網絡協議帶來的復雜性、運營成本和威脅向量。

　　許多聯邦機構已在面向公眾的系統上部署IPv6，其訪問量已經與IPv4相當，甚至超過了IPv4。隨著信息技術不斷向移動平臺、物聯網（IOT）和無線網絡發展，IPv6的增長將持續加速。

　　（2）遵循聯邦IPv6采購要求

　　2009年12月，聯邦采購條例委員會發布了聯邦采購條例的最終修訂規則，以確保未來的網絡信息技術采購包含IPv6需求。該修訂案的關鍵內容是：“除非機構的首席信息官放棄這一要求，否則在采購使用IP協議的信息技術時，需求文檔必須包含參考USGv6 Profile（NIST特別出版物500-267）中定義的相應技術能力，以及USGv6測試計劃中定義的相應一致性聲明。”

　　這種戰略性的采購方法能夠實現自然的技術更新周期，以升級已安裝的聯網IT產品和服務底層，使其能夠“支持IPv6”（IPv6-capable，指系統或服務已經正確地實現了一套完整的IPv6功能）。NIST USGv6 Profile描述了不同產品類型的IPv6功能詳細技術要求。這樣做可以確保聯邦IT系統能夠發揮IPv6的技術和經濟效益，并使聯邦首席信息官能夠在適當的時候最終遷移到純IPv6環境。根據現有的聯邦采購條例委員會要求，各機構應：

　　在購買網絡信息技術和服務時，繼續使用USGv6 Profile來確定機構或采購對IPv6能力的具體要求。展望未來，應明確要求硬件和軟件能夠運行在純IPv6環境中；

　　持續督促潛在的供應商通過USGv6測試計劃來證明其符合IPv6的需求描述；

　　在極少數情況下，如果要求證明IPv6能力會對采購行動造成不必要的負擔，則允許機構的首席信息官針對某些個案放棄這一要求。在這種情況下，采購機構應要求供應商提供文件，詳細說明其產品納入IPv6能力的明確計劃（如時間表）。

　?。?）推進USGv6計劃

　　為了繼續保護聯邦在IPv6技術上的投資，并確保采購中IPv6功能的高質量和完整性，NIST將繼續更新和擴大USGv6計劃。NIST將繼續定期更新USGv6 Profile，以納入最新的互聯網工程任務組（IETF）規范相關的IPv6技術。特別強調的是，應確保納入IPv6安全技術以及那些支持其他聯邦計劃所需的網絡功能，如物聯網、采用基于云共享的服務、先進的無線通信以及軟件定義和虛擬化網絡。

　　USGv6測試計劃將繼續為商業產品提供政府范圍內的一致性和一般互操作性測試。該計劃將繼續由經認可的外部測試實驗室實施，并繼續與現有的行業主導的測試計劃進行最大程度的協調，以盡量減少供應商的負擔。為避免對通用檢測要求的不必要重復，各機構應：

　　利用USGv6測試計劃對商業產品進行基本的一致性和一般互操作性測試；

　　確保機構或采購的特定測試側重于USGv6測試計劃中未涉及的特定系統集成、性能和信息保障測試。

　?。?）不同政府機構的責任

　　以下機構牽頭在整個政府范圍內支持向IPv6過渡的工作。

　　商務部：

　　繼續加強和維護USGv6 Profile和測試計劃；

　　與國土安全部合作，為整個聯邦信息技術基礎設施采用IPv6制定增強性安全指南。

　　國土安全部：

　　與商務部合作，為整個聯邦信息技術基礎設施采用IPv6制定增強安全指南和操作指引。

　　加強相關的安全彈性程序和服務（如可信互聯網連接、持續診斷和處置、愛因斯坦計劃），以全面支持IPv6在所有聯邦信息技術系統中投入生產使用；

　　加強測量及報告聯邦信息系統內IPv6和IPv4部署程度和使用水平的能力。

　　總務管理局：

　　確保相關的總務管理局程序和服務全面支持IPv6，并在功能和性能上與現有的IPv4服務持平。

　　確保政府范圍內涉及IP協議的采購合同模板包含IPv6需求；

　　與各機構和企業基礎設施解決方案（EIS）供應商合作，確保所有EIS網絡服務在部署時按照機構IPv6實施計劃和EIS任務單的規定啟用IPv6。

　　聯邦首席信息官委員會以及聯邦首席采購官委員會：

　　協助行政管理和預算局和各機構，在必要時為IPv6的實施提供指導。

　　提供一個機構間論壇來分享經驗和最佳實踐，并在適當時機與外部合作伙伴協同努力，協助向IPv6的過渡；

　　酌情與工業界接觸，學習經驗教訓和最佳實踐，確保產品和服務滿足聯邦政府的需求。

　　3、規劃目標

　　簡單、現代和可擴展的網絡基礎設施可帶來技術、經濟和安全效益。這是私營部門向純IPv6演進的動力。為了跟上并利用這種網絡技術的演變，各機構應：

　　（1）在本政策發布后45天內，指定一個全機構范圍的IPv6綜合項目組（包括采購、政策和技術成員）或其他治理結構，以有效地管理和執行IPv6工作。

　?。?）在本備忘錄發布后的180天內，發布并在機構的公開訪問網站上提供全機構范圍的IPv6政策，要求在2023財政年度（FY）之前，所有新聯網的聯邦信息系統在部署時都必須啟用IPv6（IPv6-enabled），并闡明本機構將在所有系統中逐步停止使用IPv4。

　　（3）尋求IPv6試點機會，在2021財年結束前至少完成一個純IPv6業務系統的試點，并根據要求向行政管理和預算局報告試點結果。

　　（4）在2021財政年度結束前制定IPv6實施計劃，該計劃必須確保IPv6實施計劃與其他相關部門的現代化舉措相協調，并要求機構提供的所有共享服務都能提供全面的IPv6支持（包括在純IPv6模式下運行的能力），并在功能和性能上與現有的IPv4服務持平。此外，酌情更新信息資源管理IRM戰略計劃，以升級所有聯網的聯邦信息系統（以及與這些系統相關的IP資產），使其能夠完全實現原生IPv6運行。該計劃應說明機構的過渡過程，并包括以下里程碑和行動：

　　到2023財政年度末，聯邦網絡上至少20%啟用IP協議的資產在純IPv6環境中運行。

　　到2024財政年度末，聯邦網絡上至少50%啟用IP協議的資產在純IPv6環境中運行。

　　到2025財政年度末，聯邦網絡上至少80%啟用IP協議的資產在純IPv6的環境中運行。

　　查明不能切換到IPv6的聯邦信息系統并說明理由，提供更換或停用這些系統的時間表。

　　自2010年以來，行政管理和預算局指南要求各機構在一些系統中采購并部署IPv6功能。我們建議各機構在制定計劃時，參考從試點活動和以往生產部署中獲得的實際經驗。各機構的計劃會隨著時間的推移而變化，因此，重要的是確定哪些系統已經具備運行IPv6的條件，并制定和實施計劃，首先在這些系統中啟用IPv6，然后評估將這些系統遷移到純IPv6環境的潛力。

　?。?）與外部伙伴合作，確定與聯邦信息系統聯網的系統，并制定計劃將所有這些網絡接口遷移到使用IPv6。

　?。?）完成面向公共/外部的服務器和服務（如Web、電子郵件、DNS和ISP服務）以及與公共互聯網通信的內部客戶端應用程序和企業支撐網絡的升級，以使用原生IPv6。

　　二、IPv6的安全問題與特點

　　1、  IPv6的安全問題

　　RFC4942討論了在部署IPv6時，以及使用相關過渡機制運行雙棧網絡時，需要考慮哪些安全問題。

　　概括起來，主要安全問題包括三種：由于IPv6協議引起的問題、由于過渡機制引起的問題，以及由于IPv6部署引起的問題。

　?。?）IPv6協議引起的問題包括：

　　協議本身的問題：路由頭、移動IPv6、站點范圍的多播地址、ICMPv6、任播流量、地址隱私擴展與DDoS防御、動態DNS、擴展頭、分片、鏈路本地地址和鄰居發現、安全路由通告、多路由器負載分擔等；

　　使用嵌入IPv4地址的IPv6地址繞過防護問題；

　　端到端透明性問題（無NAT）；

　　將IPv6隱藏于IPv6隧道帶來的繞過安全檢查問題。

　?。?）過渡機制引起的問題包括：6to4隧道機制、自動隧道和中繼、IPv6隧道可能會破壞IPv4網絡等。

　　（3）IPv6部署引起的問題包括：缺乏安全保護的IPv6試運行、DNS拒絕服務、尋址和安全路由、多播地址、ICMPv6、IPSec的傳輸模式、設備缺少相關功能、鄰居發現代理等。

　　2、IPv6安全問題的特點

　　IPv6與IPv4并沒有太大的區別：它是無連接的網絡協議，使用與IPv4相同的下層服務并向上層提供相同的服務。因此，除了下文所列舉的例外，IPv6和IPv4的安全問題和處置技術基本上大同小異。

　?。?）IPv6并不比IPv4更安全

　　因為IPv6是新的協議，有些人就認為IPv6天生就比IPv4更安全。這種觀點大錯特錯。事實上，作為一個新的協議，很多實施過程中的bug還沒有被發現和修復，而且很少有人具備安全運行IPv6網絡所需的專業安全知識。在部署IPv6的過程中，最大的威脅就是專業操作知識的缺乏：因此我們需要不斷強調培訓的重要性。

　　關于IPv6的一個安全神話是：由于其巨大的地址空間，無法通過枚舉/64子網中所有的IPv6地址來進行網絡掃描，因此懷有惡意的人無法定位攻擊目標。但是，[RFC5157]描述了可用來尋找網絡上潛在目標的替代技術，例如，枚舉區域內所有的DNS名稱。[HOST-SCANNING]中也給出了有關這方面的其他做法。

　　另一個安全神話是：由于IPv6強制要求所有地方使用IPsec，因此它更安全。雖然最初的IPv6規范可能暗示了這一點，但[RFC6434]明確指出：并不強制性要求支持IPsec。此外，如果企業內部的所有流量都被加密，那么不僅是惡意軟件，那些依靠檢測有效載荷的安全工具（入侵防御系統（IPS）、防火墻、訪問控制列表（ACL）、IP流信息導出（IPFIX）（[RFC7011]和[RFC7012]）等）都會受到影響。因此，IPv6中的IPsec與在IPv4中一樣有用（例如，用于在非可信網絡上建立VPN通道，或為某些特定應用預留）。

　　最后一個安全神話是：因為不再有廣播，因此在IPv6中不存在放大攻擊（如[SMURF]）。這種說法也是不準確的，因為路由器和主機在轉發或接收組播消息時，會產生ICMP錯誤（在某些情況下）或信息消息（見[RFC4443]的2.4節）。因此，必須像IPv4一樣限制ICMPv6報文的生成和轉發速率。

　　需要注意的是，在雙棧網絡中，除了要考慮IPv4和IPv6共存時兩者之間交互及轉換的安全因素外，還需要考慮兩者的安全實現。

　　（2）IPv6和IPv4安全的相似之處

　　如前所述，IPv6與IPv4十分相似，因此，有幾種攻擊同時適用于這兩個協議族，包括：

　　應用層攻擊：如跨站腳本或SQL注入。

　　流氓設備：如流氓Wi-Fi接入點。

　　泛洪和所有基于流量的拒絕服務：包括對IPv6流量使用控制平面策略（見[RFC6192]）。

　　舉例來說，IPv6的唯一本地地址（ULA）[RFC4193]和IPv4的私有地址 [RFC1918]類似，它們并不能像“魔法”一樣提供安全性。使用這兩種地址時，邊緣路由器必須采用嚴格的過濾器來阻止這些私有地址進入網絡，同時也要阻止它們離開網絡。這種過濾可以由企業來完成，也可以由ISP來完成，但謹慎的管理員會傾向于在自己的企業中完成。

　　（3）IPv6的特定安全問題

　　即使IPv6與IPv4類似，也存在一些差異會使IPv6產生特有的漏洞或問題。在本節中，我們將舉例說明這些差異。

　　隱私擴展地址使安全人員或網絡運營商想要追溯到其網絡中的主機日志記錄時，很難跟蹤審計線索。隱私擴展地址[RFC4941]通常用于保護個人隱私，通過定期改變IPv6地址中的接口標識符部分，以避免由于64位擴展唯一標識符EUI-64（基于媒體訪問控制MAC地址）保持不變而導致主機被追蹤。雖然在互聯網上這是算得上是優點，但它也使安全人員或網絡運營商想要追溯到其網絡中的主機日志記錄時，很難跟蹤審計線索（即使前綴部分保持不變）：因為當跟蹤完成時，搜索到的IPv6地址可能已經從網絡中消失了。因此，使用隱私擴展地址通常需要對IPv6地址與MAC地址的綁定進行額外的監控和記錄（也可參見[IPv6-SECURITY]第2.5節中的監控部分）。為提供地址問責制，早期一些企業化部署采用了從交換機和路由器設備收集IP/MAC地址映射的方法。盡管可能需要收集比同樣規模的IPv4網絡更多的地址數據，但這種方法也被證明卓有成效。另一種方法是通過強制使用DHCPv6來防止隱私擴展地址，這樣主機只能獲得DHCPv6服務器分配的地址。這可以通過配置路由器（在RA中設置M位，搭配包含所有通告的前綴且不設置A位）來實現（防止使用無狀態自動配置）。當然，這種技術要求所有主機都支持有狀態的DHCPv6。需要注意的是，并不是所有的操作系統在處理帶有M位集合的RA時都表現出相同的行為。由于鄰居發現協議（NDP）中缺乏相關對A、M和O位的規范性定義，因此不同的操作系統行為各異。[DHCPv6-SLAAC-PROBLEM]對M位和DHCPv6的交互作用進行了更詳細的分析。

　　擴展頭使ACL等無狀態數據包過濾器的任務復雜化。如果使用ACL來執行安全策略，那么企業必須驗證其ACL（也包括有狀態的防火墻）是否能夠處理擴展頭（這意味著為了找到上層的有效負載，需要完全理解協議并解析擴展頭），并阻止不需要的擴展頭（例如，實現[RFC5095]）。這個話題在[RFC7045]中有深入討論。

　　分片可能導致包過大“消不能過濾，并用來逃避某些安全機制。分片在IPv6中有所不同，因為它只由源主機完成，而不發生在轉發操作期間。這意味著必須允許ICMPv6的”包過大“消息通過網絡，而不能過濾[RFC4890]。分片也可以用來逃避一些安全機制，如RA-Guard[RFC6105]。另見[RFC5722]和[RFC7113]。

　　IPv6引入的NDP同樣缺乏安全性。 IPv4和IPv6之間最大的區別之一是后者引入了NDP[RFC4861]，包括各種重要的IPv6協議功能，包括IPv4中由地址解析協議（ARP）[RFC0826]提供的功能。NDP在ICMPv6上運行（如上所述，這意味著安全策略必須允許某些ICMPv6報文通過，如RFC 4890所述），但與ARP等一樣缺乏安全性，因為缺乏內置的報文驗證。雖然已經定義了安全鄰居發現（SEND）[RFC3971]和加密生成地址（CGA）[RFC3972]，但它們并沒有被廣泛實現。NDP套件中RA的威脅模型與DHCPv4（和DHCPv6）的威脅模型類似，因此惡意主機可以是惡意路由器或惡意DHCP服務器。在邊緣交換機中借助DHCPv4 snooping技術可以使IPv4網絡更加安全，同樣RA snooping也可以提高IPv6網絡的安全性（在純IPv4網絡中亦是如此）。因此，對IPv4使用此類技術的企業應該對IPv6使用等效的技術，包括RA-Guard[RFC6105]和源地址驗證改進（SAVI）工作組的所有正在進行的工作（例如[RFC6959]），帶來的保護效果類似于IPv4中的動態ARP監控。其他拒絕服務漏洞與NDP緩存耗盡有關，處置技術可以在（[RFC6583]）中找到。

　　如前所述，運行雙棧網絡會使攻擊風險加倍，因為惡意者現在有兩個攻擊載體：IPv4和IPv6。這意味著，所有在雙棧環境中運行的路由器和主機，如果啟用了兩個協議族（即使是默認設定），則必須為兩個協議版本制定一致的安全策略。例如：所有Web服務器開放TCP 80和443端口，并拒絕其他端口的連接，這一點必須在IPv4和IPv6中同時實現。因此，管理員使用的工具需要支持這種操作。

　　三、部署IPv6的安全策略

　　顯然，IPv6網絡應該以安全的方式部署。關于IPv6安全部署，除了聯邦指南之外，還有詳細的行業指南和最佳實踐文檔。關于如何保障IPv6安全的知識庫已經非常成熟，但人們往往忽略了IPv6可以更有效地實現整體安全。例如，那些使用IPv6尋址（這與網絡安全架構密切相關）的組織發現，他們的安全配置復雜度顯著降低。

　　RFC7381討論了IPv6部署時應采取的安全策略。業界在IPv4的網絡安全方面已經頗有心得，網絡運營商在部署IPv6時，應該充分利用這些知識和經驗。

　　為了幫助聯邦政府獲得這些安全效益，各機構應：

　　確保將生產環境全面支持IPv6納入IT安全計劃、架構和采購中。

　　確保所有支撐網絡運行或企業安全服務的系統（如身份和訪問管理系統、防火墻和入侵檢測/保護系統、終端安全系統、安全事件管理系統、訪問控制和政策執行系統、威脅情報和聲譽系統）都支持IPv6，并能在純IPv6環境中運行。

　　酌情遵循相應的聯邦指南，并充分利用行業最佳實踐，確保IPv6網絡的安全部署和運行。

　　確保所有安全和隱私政策評估、授權和監測程序能夠充分解決聯邦信息系統中IPv6的生產使用問題。