` IPv6网络安全测评方法 IPv6 network security evaluation methodICS 33.060.99 CCS M36 YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T ××××—×××× ××××-××-××发布 ××××-××-××实施 中华人民共和国工业和信息化部 发布YD/T ××××—×××× 1目 次 前 言 ...................................................................... 3 1 范围 ........................................................................ 4 2 规范性引用文件 .............................................................. 4 3 术语和定义 .................................................................. 4 4 缩略语 ...................................................................... 4 5 安全风险分析 ................................................................ 5 5.1 概述 ...................................................................... 5 5.2 过渡机制安全风险 .......................................................... 6 5.3 IPv6引入的安全风险 ....................................................... 6 5.4 安全设备面临的新风险 ...................................................... 6 6 安全测评内容 ................................................................ 6 6.1 双栈安全防护能力测评 ...................................................... 6 6.2 IPv6协议安全测评 ......................................................... 7 6.3 IPv6 DDoS防护能力测评 .................................................... 9 6.4 安全配置测评 ............................................................. 10 6.5 漏洞扫描测评 ............................................................. 11 6.6 组网安全测评 ............................................................. 12 YD/T ××××—×××× 2 前 言 本文件按 照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规 则》的规定起草 。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 : 中国移动通信集团有限公司 、中兴通讯股份有限公司 、新华三技术有 限公司、北京天融信网络安全技术有限公司、国家计算机网络应急技术处理协调中心。 本标准主要起草人 ：杜海涛、邵京、王悦、李伟、张峰、何申、粟栗、林兆骥、万晓兰、 王龑、陈桂文、石磊、梁业裕。 YD/T ××××—×××× 3IPv6网络安全测评 方法 1　范围 本文件规定了 IPv6网络的安全测评内容和方法 ，包括双栈安全防护能力 、协议安全 、安 全防护、安全配置 、漏洞扫描 、组网安全等方面 ，可作为IPv6规模部署中网络安全的基本测 试评价方法。 本文件适用于通信网络、业务系统和支撑系统等典型网络和设备的 IPv6网络安全测评 。 2　规范性引用文件 本文件没有规范性引用文件。 3　术语和定义 本文件没有需要界定的术语和定义。 4　缩略语 下列缩略语适用于本文件。 ACL 访问控制列表 Access Control List CNVD 国家信息安全漏洞共享平台 China National Vulnerability Database CVD 通用漏洞披露 Common Vulnerabilities & Exposures DDoS 分布式拒绝服务攻击 Distributed Denial of Service DHCP 动态主机配置协议 Dynamic Host Configuration Protocol IDS 入侵检测系统 Intrusion Detection System IPS 入侵防御系统 Intrusion Prevention System NAT 网络地址转换 Network Address Translation ND 邻居发现 Neighbor Discovery NDP 邻居发现协议 Neighbor Discovery Protocol URPF 单播反向路由查找 Unicast Reverse Path Forwarding WAF Web应用防护系统 Web Application Firewall XSS 跨站脚本攻击 Cross Site Script Attack YD/T ××××—×××× 4 5　安全风险分析 5.1　概述 典型的企业IPv6网络如图1所示，由交换机、路由器等基础网络设备，以及防火墙、 DDoS防护设备、 WAF、IDS/IPS等安全防护设备组成。 图1 典型 IPv6网络组成 与IPv4相比，IPv6在协议方面进行了安全增强，但仍在以下三个方面存在安全风险 ： 一是IPv4与IPv6实施的双栈配置等过渡期的安全风险 ；二是IPv6协议所引入的安全风险 ； 三是安全防护设备面临新的安全风险。 本章节的安全风险， 参考了ITU-T X.1037中的安全风险描述。 5.2　过渡机制安全风险 在从IPv4向IPv6过渡的过程中，“双栈 ”、“隧道 ”、“翻译 ”是三种可能采用的方 案，均可能引入新的安全威胁。 如过渡期间双栈部署的网络中同时运行着 IPv4、IPv6两个 逻辑通道，增加了设备 /系统的暴露面，也意味着防火墙、安全网关等防护设备需同时配置 双栈策略，从而导致策略管理的复杂度增加，安全防护被穿透的机会增加。 5.3　IPv6引入的安全风险 IPv6报文结构中引入的新字段（如流标签等）、 IPv6协议族中引入的新协议（如邻居 YD/T ××××—×××× 5发现协议等）可能存在漏洞，这些漏洞被利用后可发起地址欺骗、 DDoS等攻击。 IPv6协议 特有的攻击风险包括：逐跳扩展头攻击、邻居发现协议攻击等。 5.4　安全设备面临的新风险 过渡阶段的 IPv4和IPv6双栈机制 ，使得同一设备至少具有 IPv4和IPv6两个地址 ，增 加了IP地址暴露的风险，同时也对安全设备的配置管理和扫描设备的性能都提出了更高的 要求，具体如下： a) 网络层防护设备 ：在IPv4与IPv6混合网络中，防火墙 /安全网关等防护设备需要同 时配置双栈策略保障安全性，对设备的功能、性能的要求更高。 b) 应用层安全防护设备 ：WAF、IPS、IDS等应用层安全防护设备的 IPv6报文解析能 力、 IPv6地址格式配置（如黑白名单等）功能可能不完善；包含安全功能的网络 系统（如流量控制系统等）也可能存在类似风险。 c) 网络扫描类设备 ：在IPv4环境下，系统漏洞扫描、 WEB漏洞扫描 等设备一般按照 C段/B段地址进行扫描。 但IPv6地址长达 128位，是IPv4的2^96倍，扫描设备 难以按照地址段实施大规模扫描。 6　安全测评内容 6.1　双栈安全防护能力测评 6.1.1　双栈安全防护配置测评 测评项 双栈设备的安全防护配置 测评对象 网络设备 /安全设备 测评方法 检查网络单元中 IPv4和IPv6双栈的基础网络设备 (交换机、路由器、负 载均衡等 )和安全设备（防火墙等）的配置。 针对IPv4和IPv6协议栈，设备都具备安全相关的功能 ， 支持进行相关的配置 是□ 否 □ 测评内容 针对IPv4和IPv6协议栈，设备都启用了安全相关的功 能，并进行了相关配置 是□ 否 □ 6.1.2　双栈安全防护能力测评 测评项 双栈安全防护