YDT 4571-2023IPv6網(wǎng)絡(luò)安全測評方法

`

ICS33.060.99

CCSM36YD

中華人民共和國通信行業(yè)標(biāo)準(zhǔn)

YD/T××××—××××

IPv6網(wǎng)絡(luò)安全測評方法

IPv6networksecurityevaluationmethod

××××-××-××發(fā)布××××-××-××實施

中華人民共和國工業(yè)和信息化部發(fā)布

YD/T××××—××××

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)

則》的規(guī)定起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由中國通信標(biāo)準(zhǔn)化協(xié)會提出并歸口。

本文件起草單位:中國移動通信集團有限公司、中興通訊股份有限公司、新華三技術(shù)有

限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心。

本標(biāo)準(zhǔn)主要起草人：杜海濤、邵京、王悅、李偉、張峰、何申、粟栗、林兆驥、萬曉蘭、

王龑、陳桂文、石磊、梁業(yè)裕。

2

YD/T××××—××××

IPv6網(wǎng)絡(luò)安全測評方法

1范圍

本文件規(guī)定了IPv6網(wǎng)絡(luò)的安全測評內(nèi)容和方法，包括雙棧安全防護(hù)能力、協(xié)議安全、安

全防護(hù)、安全配置、漏洞掃描、組網(wǎng)安全等方面，可作為IPv6規(guī)模部署中網(wǎng)絡(luò)安全的基本測

試評價方法。

本文件適用于通信網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)等典型網(wǎng)絡(luò)和設(shè)備的IPv6網(wǎng)絡(luò)安全測評。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語和定義

本文件沒有需要界定的術(shù)語和定義。

4縮略語

下列縮略語適用于本文件。

ACL訪問控制列表AccessControlList

CNVD國家信息安全漏洞共享平臺ChinaNationalVulnerabilityDatabase

CVD通用漏洞披露CommonVulnerabilities&Exposures

DDoS分布式拒絕服務(wù)攻擊DistributedDenialofService

DHCP動態(tài)主機配置協(xié)議DynamicHostConfigurationProtocol

IDS入侵檢測系統(tǒng)IntrusionDetectionSystem

IPS入侵防御系統(tǒng)IntrusionPreventionSystem

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換NetworkAddressTranslation

ND鄰居發(fā)現(xiàn)NeighborDiscovery

NDP鄰居發(fā)現(xiàn)協(xié)議NeighborDiscoveryProtocol

URPF單播反向路由查找UnicastReversePathForwarding

WAFWeb應(yīng)用防護(hù)系統(tǒng)WebApplicationFirewall

XSS跨站腳本攻擊CrossSiteScriptAttack

3

YD/T××××—××××

5安全風(fēng)險分析

5.1概述

典型的企業(yè)IPv6網(wǎng)絡(luò)如圖1所示，由交換機、路由器等基礎(chǔ)網(wǎng)絡(luò)設(shè)備，以及防火墻、

DDoS防護(hù)設(shè)備、WAF、IDS/IPS等安全防護(hù)設(shè)備組成。

圖1典型IPv6網(wǎng)絡(luò)組成

與IPv4相比，IPv6在協(xié)議方面進(jìn)行了安全增強，但仍在以下三個方面存在安全風(fēng)險：

一是IPv4與IPv6實施的雙棧配置等過渡期的安全風(fēng)險；二是IPv6協(xié)議所引入的安全風(fēng)險；

三是安全防護(hù)設(shè)備面臨新的安全風(fēng)險。

本章節(jié)的安全風(fēng)險，參考了ITU-TX.1037中的安全風(fēng)險描述。

5.2過渡機制安全風(fēng)險

在從IPv4向IPv6過渡的過程中，“雙?！薄ⅰ八淼馈?、“翻譯”是三種可能采用的方

案，均可能引入新的安全威脅。如過渡期間雙棧部署的網(wǎng)絡(luò)中同時運行著IPv4、IPv6兩個

邏輯通道，增加了設(shè)備/系統(tǒng)的暴露面，也意味著防火墻、安全網(wǎng)關(guān)等防護(hù)設(shè)備需同時配置

雙棧策略，從而導(dǎo)致策略管理的復(fù)雜度增加，安全防護(hù)被穿透的機會增加。

5.3IPv6引入的安全風(fēng)險

IPv6報文結(jié)構(gòu)中引入的新字段（如流標(biāo)簽等）、IPv6協(xié)議族中引入的新協(xié)議（如鄰居

4

YD/T××××—××××

發(fā)現(xiàn)協(xié)議等）可能存在漏洞，這些漏洞被利用后可發(fā)起地址欺騙、DDoS等攻擊。IPv6協(xié)議

特有的攻擊風(fēng)險包括：逐跳擴展頭攻擊、鄰居發(fā)現(xiàn)協(xié)議攻擊等。

5.4安全設(shè)備面臨的新風(fēng)險

過渡階段的IPv4和IPv6雙棧機制，使得同一設(shè)備至少具有IPv4和IPv6兩個地址，增

加了IP地址暴露的風(fēng)險，同時也對安全設(shè)備的配置管理和掃描設(shè)備的性能都提出了更高的

要求，具體如下：

a)網(wǎng)絡(luò)層防護(hù)設(shè)備：在IPv4與IPv6混合網(wǎng)絡(luò)中，防火墻/安全網(wǎng)關(guān)等防護(hù)設(shè)備需要同

時配置雙棧策略保障安全性，對設(shè)備的功能、性能的要求更高。

b)應(yīng)用層安全防護(hù)設(shè)備：WAF、IPS、IDS等應(yīng)用層安全防護(hù)設(shè)備的IPv6報文解析能

力、IPv6地址格式配置（如黑白名單等）功能可能不完善；包含安全功能的網(wǎng)絡(luò)

系統(tǒng)（如流量控制系統(tǒng)等）也可能存在類似風(fēng)險。

c)網(wǎng)絡(luò)掃描類設(shè)備：在IPv4環(huán)境下，系統(tǒng)漏洞掃描、WEB漏洞掃描等設(shè)備一般按照

C段/B段地址進(jìn)行掃描。但I(xiàn)Pv6地址長達(dá)128位，是IPv4的2^96倍，掃描設(shè)備

難以按照地址段實施大規(guī)模掃描。

6安全測評內(nèi)容

6.1雙棧安全防護(hù)能力測評

6.1.1雙棧安全防護(hù)配置測評

測評項雙棧設(shè)備的安全防護(hù)配置

測評對象網(wǎng)絡(luò)設(shè)備/安全設(shè)備

檢查網(wǎng)絡(luò)單元中IPv4和IPv6雙棧的基礎(chǔ)網(wǎng)絡(luò)設(shè)備(交換機、路由器、負(fù)

測評方法

載均衡等)和安全設(shè)備（防火墻等）的配置。

針對IPv4和IPv6協(xié)議棧，設(shè)備都具備安全相關(guān)的功能，

是□否□

支持進(jìn)行相關(guān)的配置

測評內(nèi)容

針對IPv4和IPv6協(xié)議棧，設(shè)備都啟用了安全相關(guān)的功

是□否□

能，并進(jìn)行了相關(guān)配置

6.1.2雙棧安全防護(hù)能力測評

測評項雙棧安全防護(hù)能力

測評對象網(wǎng)絡(luò)設(shè)備/安全設(shè)備

測評方法檢查網(wǎng)絡(luò)單元中IPv4和IPv6雙棧的基礎(chǔ)網(wǎng)絡(luò)設(shè)備(交換機、路由器、負(fù)

5

YD/T××××—××××

載均衡等)和安全設(shè)備（防火墻等）的工作情況

設(shè)備啟動了針對雙棧的安全功能和配置后，設(shè)備仍能夠

測評內(nèi)容是□否□

正常工作，并且滿足功能和性能的要求

6.2IPv6協(xié)議安全測評

6.2.1NDP協(xié)議攻擊防護(hù)能力測評

測評項NDP協(xié)議攻擊防護(hù)能力

測評對象網(wǎng)絡(luò)設(shè)備/安全設(shè)備

檢查網(wǎng)絡(luò)單元中基礎(chǔ)網(wǎng)絡(luò)設(shè)備(交換機、路由器、負(fù)載均衡等)和安全設(shè)

測評方法

備（防火墻等）配置

支持主機ND表項綁定記錄功能，通過收集主機ND表項

記錄合法主機地址、接口、MAC對應(yīng)關(guān)系，保證合法主是□否□

機的鏈路可達(dá)性

測評內(nèi)容支持端口ND表項限制功能，通過限制設(shè)備對某端口ND

是□否□

表項的數(shù)量來緩解洪范攻擊

支持靜態(tài)ND表項綁定功能，通過綁定主機與ND之間的

是□否□

映射關(guān)系，防止動態(tài)地址欺騙攻擊對ND表項進(jìn)行篡改

6.2.2地址欺騙防護(hù)能力測評

測評項地址欺騙防御能力

測評對象三層路由交換設(shè)備

測評方法檢查三層路由設(shè)備DHCP配置

支持通過配置端口ACL，對連接終端主機的接口收到的

DHCP應(yīng)答消息進(jìn)行過濾，實現(xiàn)只接收與真實DHCP服務(wù)

是□否□

器互聯(lián)接口收到的DHCP應(yīng)答消息，避免從非信任接口

遭受DHCP欺騙

支持DHCPGuard功能，對連接終端主機的接口收到的

DHCP應(yīng)答消息進(jìn)行過濾，實現(xiàn)只接收與真實DHCP服務(wù)

是□否□

器互聯(lián)接口收到的DHCP應(yīng)答消息，避免從非信任接口

測評內(nèi)容

遭受DHCP欺騙

支持通過配置端口ACL，對連接終端主機的接口收到的

RA應(yīng)答消息進(jìn)行過濾，實現(xiàn)只接收與真實路由器互聯(lián)接是□否□

口收到的RA應(yīng)答消息，避免從非信任接口遭受RA欺騙

支持RAGuard功能，對連接終端主機的接口收到的RA

應(yīng)答消息進(jìn)行過濾，實現(xiàn)只接收與真實路由器互聯(lián)接口是□否□

收到的RA應(yīng)答消息，避免從非信任接口遭受RA欺騙

6

YD/T××××—××××

6.2.3URPF功能測評

測評項URPF功能

測評對象三層路由交換設(shè)備

測評方法檢查網(wǎng)絡(luò)單元中三層路由交換設(shè)備配置

支持URPF配置功能是□否□

開啟配置URPF，轉(zhuǎn)發(fā)設(shè)備根據(jù)報文源地址查詢本地路由

測評內(nèi)容表，若發(fā)現(xiàn)本地沒有對應(yīng)的路由，或報文的入接口與路

是□否□

由的出接口不符，則判斷該報文來源不合法，進(jìn)行丟棄

處理

6.2.4擴展頭檢查功能測評

測評項報文擴展頭檢查功能

測評對象防火墻設(shè)備

測評方法協(xié)議安全測試

支持報文擴展頭檢查功能是□否□

可以針對不同類型（逐跳選項、目的選項、路由首部、

測評內(nèi)容

分片首部、認(rèn)證首部、安全凈荷封裝）的擴展頭進(jìn)行識是□否□

別，并執(zhí)行相應(yīng)通過/丟包動作

6.2.5分片攻擊防護(hù)能力測評

測評項分片攻擊防護(hù)能力

測評對象三層路由交換設(shè)備

測評方法協(xié)議安全測試

對MTU（最大傳輸單元）小于1280字節(jié)的數(shù)據(jù)包，進(jìn)行

是□否□

丟棄處理（除非最后一個包）

針對三種擴展頭：逐跳擴展頭，目的地址選項擴展頭、

路由擴展頭，出現(xiàn)在IPv6分片的數(shù)據(jù)部分，進(jìn)行丟棄是□否□

處理

測評內(nèi)容

對于IPv6報文重組超時時間到達(dá)前，由于分片包頭未

包含足夠的重組信息導(dǎo)致無法完成重組的報文，進(jìn)行丟是□否□

棄處理

對于分片重組后報文載荷長度大于65535字節(jié)的IPv6

是□否□

分片報文，進(jìn)行丟棄處理

7

YD/T××××—××××

6.3IPv6DDoS防護(hù)能力測評

6.3.1基于IPv6的SynFlood防護(hù)能力測評

測評項基于IPv6的SynFlood攻擊防護(hù)能力

測評對象網(wǎng)絡(luò)系統(tǒng)/抗DDoS設(shè)備

用儀表構(gòu)建IPv6SynFlood攻擊測試，檢查被測網(wǎng)絡(luò)/設(shè)備是否能夠承

測評方法

受IPv6SynFlood攻擊

檢查被測網(wǎng)絡(luò)/設(shè)備有SynFlood防護(hù)機制是□否□

測評內(nèi)容

被測網(wǎng)絡(luò)/設(shè)備能夠防范IPv6SynFlood攻擊是□否□

6.3.2基于IPv6的UDPFlood防護(hù)能力測評

測評項基于IPv6的UDPFlood攻擊防護(hù)能力

測評對象網(wǎng)絡(luò)系統(tǒng)/抗DDoS設(shè)備

用儀表構(gòu)建IPv6UDPFlood攻擊測試，檢查被測網(wǎng)絡(luò)/設(shè)備是否能夠承受

測評方法

IPv6UDPFlood攻擊

檢查被測網(wǎng)絡(luò)/設(shè)備有UDPFlood防護(hù)機制是□否□

測評內(nèi)容

被測網(wǎng)絡(luò)/設(shè)備能夠防范IPv6UDPFlood攻擊是□否□

6.3.3基于IPv6的ICMPFlood防護(hù)能力測評

測評項基于IPv6的ICMPFlood攻擊防護(hù)能力

測評對象網(wǎng)絡(luò)系統(tǒng)/抗DDoS設(shè)備

用儀表構(gòu)建IPv6ICMPFlood攻擊測試，檢查被測網(wǎng)絡(luò)/設(shè)備是否能夠承

測評方法

受IPv6ICMPFlood攻擊

檢查被測網(wǎng)絡(luò)/設(shè)備有ICMPFlood防護(hù)機制是□否□

測評內(nèi)容

被測網(wǎng)絡(luò)/設(shè)備能夠防范IPv6ICMPFlood攻擊是□否□

6.4安全配置測評

6.4.1日志告警安全測評

測評項日志告警安全

測評對象網(wǎng)絡(luò)設(shè)備/安全設(shè)備

檢查網(wǎng)絡(luò)單元中基礎(chǔ)網(wǎng)絡(luò)設(shè)備(交換機、路由器、負(fù)載均衡等)和安全設(shè)

測評方法

備的（防火墻等）的基線配置

8

YD/T××××—××××

設(shè)備應(yīng)配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容

包括用戶登錄使用的賬號，登錄是否成功，登錄時間，是□否□

以及遠(yuǎn)程登錄時，用戶使用的IPv6地址

設(shè)備應(yīng)配置日志功能，記錄用戶對設(shè)備的操作，包括但

測評內(nèi)容不限于以下內(nèi)容：賬號創(chuàng)建、刪除和權(quán)限修改等操作。

是□否□

記錄需要包含用戶賬號，操作時間，操作內(nèi)容以及操作

結(jié)果

設(shè)備應(yīng)配置日志告警功能，對與設(shè)備相關(guān)的攻擊事件進(jìn)

是□否□

行告警

6.4.2安全策略配置測評

測評項安全策略配置

測評對象網(wǎng)絡(luò)安全設(shè)備

測評方法檢查網(wǎng)絡(luò)單元中網(wǎng)絡(luò)安全設(shè)備(防火墻、IDS/IPS等)基線配置

支持IPv6五元組安全策略功能是□否□

可以針對IPv6報文的五元組（源IPv6地址，目的IPv6

地址，源端口，目的端口，協(xié)議）進(jìn)行識別，并執(zhí)行相是□否□

應(yīng)通過/丟包動作

所有防火墻在配置訪問規(guī)則時，最后一條默認(rèn)必須是拒

是□否□

絕一切流量

測評內(nèi)容檢查安全設(shè)備是否開啟了針對IPv6地址相關(guān)的安全策

略，是否針對ICMPv6進(jìn)行了安全控制，并放通網(wǎng)絡(luò)中是□否□

需要使用的ICMPv6報文

可以針對不同ICMPv6報文類型（消息類型、消息碼）

是□否□

進(jìn)行識別，并執(zhí)行相應(yīng)通過/丟包動作

檢查安全設(shè)備是否開啟防暴力破解功能，能夠針對攻擊

是□否□

者使用的IPv6地址或其前綴頭進(jìn)行限制

6.5漏洞掃描測評

6.5.1系統(tǒng)/WEB漏掃工具測評

測評項系統(tǒng)/WEB漏洞掃描工具功能

測評對象系統(tǒng)/WEB漏洞掃描工具

測評方法檢查系統(tǒng)/WEB漏掃工具功能；

系統(tǒng)漏洞掃描工具是否支持IPv6，可對IPv6地址進(jìn)行

測評內(nèi)容是□否□

掃描

9

YD/T××××—××××

系統(tǒng)漏洞掃描工具是否支持IPv6漏洞特征庫如CVE、

是□否□

CNVD、BugTraq等

WEB漏洞掃描工具是否支持IPv6，可對IPv6地址進(jìn)行

是□否□

掃描

WEB漏洞掃描工具是否支持IPv6漏洞特征庫如CVE、

是□否□

CNVD、BugTraq等

6.5.2系統(tǒng)漏洞測評

測評項系統(tǒng)漏洞情況

測評對象設(shè)備/系統(tǒng)

測評方法使用系統(tǒng)漏掃工具對核心設(shè)備/系統(tǒng)進(jìn)行漏洞掃描

測評內(nèi)容主要核心設(shè)備/系統(tǒng)是否存在可利用的漏洞是□否□

6.5.3Web漏洞測評

測評項WEB漏洞情況

測評對象網(wǎng)站

測評方法使用Web漏掃工具對網(wǎng)站進(jìn)行漏洞掃描

是否支持檢測基于IPv6地址網(wǎng)頁中SQL注入、cookies、

是□否□

測評內(nèi)容XSS等攻擊

網(wǎng)站是否具有相關(guān)防范措施是□否□

6.5.4端口開放性檢測

測評項端口開放性

測評對象網(wǎng)絡(luò)設(shè)備

測評方法使用端口掃描工具掃描核心設(shè)備

檢查核心網(wǎng)設(shè)備端口掃描工具報告，提供端口開放報

告，端口開放最小化，沒有不應(yīng)該開啟的端口（如：21，是□否□

23等）

檢查安全設(shè)備端口掃描工具報告，提供端口開放報告，

測評內(nèi)容

端口開放最小化，沒有不應(yīng)該開啟的端口（如：21，23是□否□

等）

檢查路由設(shè)備是否僅對可信主機開放端口，提供端口開

是□否□

放報告，非可信主機限制端口訪問

10

YD/T××××—××××

6.6組網(wǎng)安全測評

6.6.1網(wǎng)絡(luò)隔離測評

測評項網(wǎng)絡(luò)隔離

測評對象網(wǎng)絡(luò)

1.檢查是否有網(wǎng)絡(luò)安全域劃分方案

測評方法

2.核實網(wǎng)絡(luò)安全域劃分方案落實情況

檢查被測網(wǎng)絡(luò)是否有明確的IPv6網(wǎng)絡(luò)安全域劃分方案是□否□

測評內(nèi)容檢查IPv6網(wǎng)絡(luò)安全域劃分方案是否在網(wǎng)絡(luò)中進(jìn)行正確

是□否□

實施

6.6.2網(wǎng)絡(luò)拓?fù)錅y評

測評項網(wǎng)絡(luò)拓?fù)浒踩?/p>

測評對象網(wǎng)絡(luò)

1.核實網(wǎng)絡(luò)拓?fù)淝闆r，并查看交換機路由器配置信息，核實拓?fù)鋱D與實際

網(wǎng)絡(luò)是否相符

2.核實相關(guān)設(shè)備部署情況；查看網(wǎng)絡(luò)拓?fù)鋱D，核實網(wǎng)絡(luò)拓?fù)浼跋嚓P(guān)設(shè)備部

測評方法

署符合有關(guān)標(biāo)準(zhǔn)對組網(wǎng)安全要求

3.核實采用何種手段對主要網(wǎng)絡(luò)設(shè)備進(jìn)行運行狀態(tài)監(jiān)控；查看設(shè)備狀態(tài)監(jiān)

控措施是否滿足安全要求

拓?fù)鋱D與實際網(wǎng)絡(luò)是否一致是□否□

網(wǎng)絡(luò)拓?fù)浼跋嚓P(guān)設(shè)備部署是否符合有關(guān)標(biāo)準(zhǔn)對組網(wǎng)安全

測評內(nèi)容是□否□

的要求

是否對主要網(wǎng)絡(luò)設(shè)備進(jìn)行狀態(tài)監(jiān)控是□否□

11

YD/T××××—××××

目次

前言.....................................................................2

1范圍.......................................................................3

2規(guī)范性引用文件.............................................................3

3術(shù)語和定義.................................................................3

4縮略語.....................................................................3

5安全風(fēng)險分析...............................................................4

5.1概述.....................................................................4

5.2過渡機制安全風(fēng)險.........................................................4

5.3IPv6引入的安全風(fēng)險.......................................................4

5.4安全設(shè)備面臨的新風(fēng)險.....................................................5

6安全測評內(nèi)容...............................................................5

6.1雙棧安全防護(hù)能力測評.....................................................5

6.2IPv6協(xié)議安全測評.........................................................6

6.3IPv6DDoS防護(hù)能力測評....................................................8

6.4安全配置測評.............................................................8

6.5漏洞掃描測評.............................................................9

6.6組網(wǎng)安全測評............................................................11

1

YD/T××××—××××

IPv6網(wǎng)絡(luò)安全測評方法

1范圍

本文件規(guī)定了IPv6網(wǎng)絡(luò)的安全測評內(nèi)容和方法，包括雙棧安全防護(hù)能力、協(xié)議安全、安

全防護(hù)、安全配置、漏洞掃描、組網(wǎng)安全等方面，可作為IPv6規(guī)模部署中網(wǎng)絡(luò)安全的基本測

試評價方法。

本文件適用于通信網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)等典型網(wǎng)絡(luò)和設(shè)備的IPv6網(wǎng)絡(luò)安全測評。

2規(guī)范性引用文件

本文件沒有規(guī)范性引用文件。

3術(shù)語和定義

本文件沒有需要界定的術(shù)語和定義。

4縮略語

下列縮略語適用于本文件。

ACL訪問控制列表AccessControlList

CNVD國家信息安全漏洞共享平臺ChinaNationalVulnerabilityDatabase

CVD通用漏洞披露CommonVulnerabilities&Exposures

DDoS分布式拒絕服務(wù)攻擊DistributedDenialofService

DHCP動態(tài)主機配置協(xié)議DynamicHostConfigurationProtocol

IDS入侵檢測系統(tǒng)IntrusionDetectionSystem

IPS入侵防御系統(tǒng)IntrusionPreventionSystem

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換NetworkAddressTranslation

ND鄰居發(fā)現(xiàn)NeighborDiscovery

NDP鄰居發(fā)現(xiàn)協(xié)議NeighborDiscoveryProtocol

URPF單播反向路由查找UnicastReversePathForwarding

WAFWeb應(yīng)用防護(hù)系統(tǒng)WebApplicationFirewall

XSS跨站腳本攻擊CrossSiteScriptAttack

3

YD/T××××—××××

5安全風(fēng)險分析

5.1概述

典型的企業(yè)IPv6網(wǎng)絡(luò)如圖1所示，由交換機、路由器等基礎(chǔ)網(wǎng)絡(luò)設(shè)備，以及防火墻、

DDoS防護(hù)設(shè)備、WAF、IDS/IPS等安全防護(hù)設(shè)備組成。

圖1典型IPv6網(wǎng)絡(luò)組成

與IPv4相比，IPv6在協(xié)議方面進(jìn)行了安全增強，但仍在以下三個方面存在安全風(fēng)險：

一是IPv4與IPv6實施的雙棧配置等過渡期的安全風(fēng)險；二是IPv6協(xié)議所引入的安全風(fēng)險；

三是安全防護(hù)設(shè)備面臨新的安全風(fēng)險。

本章節(jié)的安全風(fēng)險，參考了ITU-TX.1037中的安全風(fēng)險描述。

5.2過渡機制安全風(fēng)險

在從IPv4向IPv6過渡的過程中，“雙棧”、“隧道”、“翻譯”是三種可能采用的方

案，均可能引入新的安全威脅。如過渡期間雙棧部署的網(wǎng)絡(luò)中同時運行著IPv4、IPv6兩個

邏輯通道，增加了設(shè)備/系統(tǒng)的暴露面，也意味著防火墻、安全網(wǎng)關(guān)等防護(hù)設(shè)備需同時配置

雙棧策略，從而導(dǎo)致策略管理的復(fù)雜度增加，安全防護(hù)被穿透的機會增加。

5.3IPv6引入的安全風(fēng)險

IPv6報文結(jié)構(gòu)中引入的新字段（如流標(biāo)簽等）、IPv6協(xié)議族中引入的新協(xié)議（如鄰居

4

YD/T××××—××××

發(fā)現(xiàn)協(xié)議等）可能存在漏洞，這些漏洞被利用后可發(fā)起地址欺騙、DDoS等攻擊。IPv6協(xié)議

特有的攻擊風(fēng)險包括：逐跳擴展頭攻擊、鄰居發(fā)現(xiàn)協(xié)議攻擊等。

5.4安全設(shè)備面臨的新風(fēng)險

過渡階段的IPv4和IPv6雙棧機制，使得同一設(shè)備至少具有IPv4和IPv6兩個地址，增

加了IP地址暴露的風(fēng)險，同時也對安全設(shè)備的配置管理和掃描設(shè)備的性能都提出了更高的

要求，具體如下：

a)網(wǎng)絡(luò)層防護(hù)設(shè)備：在IPv4與IPv6混合網(wǎng)絡(luò)中，防火墻/安全網(wǎng)關(guān)等防護(hù)設(shè)備需要同

時配置雙棧策略保障安全性，對設(shè)備的功能、性能的要求更高。

b)應(yīng)用層安全防護(hù)設(shè)備：WAF、IPS、IDS等應(yīng)用層安全防護(hù)設(shè)備的IPv6報文解析能

力、IPv6地址格式配置（如黑白名單等）功能可能不完善；包含安全功能的網(wǎng)絡(luò)

系統(tǒng)（如流量控制系統(tǒng)等）也可能存在類似風(fēng)險。

c)網(wǎng)絡(luò)掃描類設(shè)備：在IPv4環(huán)境下，系統(tǒng)漏洞掃描、WEB漏洞掃描等設(shè)備一般按照

C段/B段地址進(jìn)行掃描。但I(xiàn)Pv6地址長達(dá)128位，是IPv4的2^96倍，掃描設(shè)備

難以按照地址段實施大規(guī)模掃描。

6安全測評內(nèi)容

6.1雙棧安全防護(hù)能力測評

6.1.1雙棧安全防護(hù)配置測評

測評項雙棧設(shè)備的安全防護(hù)配置

測評對象網(wǎng)絡(luò)設(shè)備/安全設(shè)備

檢查網(wǎng)絡(luò)單元中IPv4和IPv6雙棧的基礎(chǔ)網(wǎng)絡(luò)設(shè)備(交換機、路由器、負(fù)

測評方法

載均衡等)和安全設(shè)備（防火墻等）的配置。

針對IPv4和IPv6協(xié)議棧，設(shè)備都具備安全相關(guān)的功能，

是□否□

支持進(jìn)行相關(guān)的配置

測評內(nèi)容

針對IPv4和IPv6協(xié)議棧，設(shè)備都啟用了安全相關(guān)的功

是□否□

能，并進(jìn)行了相關(guān)配置

6.1.2雙棧安全防護(hù)能力測評

測評項雙棧安全防護(hù)能力

測評對象網(wǎng)絡(luò)設(shè)