最近更新时间:2026-07-01 15:02:07 来源:51DNS.COM
2026年6月11日,工信部正式印发《“人工智能+信息通信”创新发展实施意见》,文件明确将IPv6+新一代网络技术作为人工智能算力基础设施的底层核心底座,要求国内头部云服务商、CDN厂商、IDC数据中心必须默认开启IPv6网络接入能力,政务平台、工业互联网、大模型算力节点、重点行业业务系统需要在规定周期内完成IPv4与IPv6双栈网络改造,实现两种网络协议下业务均可正常访问。本次政策并非单一的网络升级要求,同步配套IPv6安全防护、流量审计、边界访问控制等强制性安全约束,严禁企业只做IPv6网络开通、不部署安全防护的裸机上线模式。

回顾国内IPv6普及进程,前期大量企业仅响应政策完成基础网络开通,忽视IPv6场景下的安全风险,很多防火墙、入侵防御设备仅针对IPv4协议配置访问策略,IPv6流量处于无防护、无审计、无拦截的三不管状态,攻击者利用NDP欺骗、IPv6分片攻击、内网广播扫描等方式横向渗透企业内网,很多等保三级系统因为IPv6安全防护缺失,连续两次测评整改依旧无法通过。本次6月新政直接将IPv6安全建设纳入新型算力基础设施考核核心项,三大运营商同步推进公网IPv6地址规模化开放,企业专线、云主机、宽带业务逐步取消NAT地址转换,分配独立公网IPv6前缀地址,在提升网络访问效率的同时,也放大了企业暴露在公网的攻击面。
多地通信管理局、网信办在6月同步开展政企单位IPv6建设专项督导检查,重点核查政务官网、公共服务平台、重点行业业务系统的IPv6连通率、访问稳定性、安全防护配置三大维度,对于改造进度滞后、安全防护缺失的单位进行约谈通报,限期完成网络升级与安全整改。很多传统企业运维团队长期基于IPv4架构做安全防护,对IPv6协议的攻击方式、防护策略缺乏认知,成为本次政策落地过程中的主要整改难点。

伴随工信部IPv6发展政策同步发布的官方配套文件《IPv6网络安全扩展要求》,在6月正式纳入网络安全等级保护测评强制考核指标,针对二级、三级等保系统明确规定:防火墙、IPS入侵防御、日志审计、堡垒机等所有边界安全设备,必须全面支持IPv6流量解析、访问策略控制、攻击行为拦截、全流量日志留存;内网交换机、路由器需要关闭IPv6自动路由分配、不必要的NDP广播功能,防范NDP地址欺骗攻击、内网扫描横向渗透风险。
以往很多企业等保测评仅针对IPv4网络做安全策略配置,防火墙直接放行所有IPv6进出流量,没有配置地址访问黑白名单、区域访问收敛策略,攻击者依托海量公网IPv6地址批量暴力扫描服务器端口、爆破后台弱口令,导致网站被入侵篡改、植入暗链木马。在6月多起等保复测失败案例中,IPv6安全防护缺失是排名前三的高频整改问题,测评机构明确给出规则:只要业务系统已开通IPv6网络却未配置对应安全防护策略,直接判定测评不合格,需要完成整改后重新复测。
IPv6协议本身并没有自带安全属性,很多运维人员存在认知误区,认为新一代网络协议安全性更高,无需额外部署防护措施。实际上IPv6地址空间更大,黑客可以绕过传统IPv4端口扫描防护,采用分片数据包、邻居欺骗等新型攻击手段绕过边界防御,再加上多数老旧安全设备对IPv6协议兼容性较差,极易出现防护策略失效的安全盲区。本次等保新增IPv6安全扩展要求,本质是补齐双栈网络环境下的安全短板,实现IPv4、IPv6两类流量同等安全管控。
结合6月安全厂商监测的IPv6网络攻击数据,当前企业双栈环境下高频安全风险主要分为四类。第一类是NDP欺骗攻击,类似于IPv4下的ARP欺骗,攻击者伪造内网网关地址,劫持局域网内所有IPv6流量,实现数据抓包、中间人窃听,窃取账号密码、业务传输数据;第二类是IPv6超大分片攻击,攻击者发送大量畸形分片数据包耗尽服务器、防火墙算力资源,引发业务拒绝服务宕机;第三类是路由自动配置漏洞,企业内网设备默认开启RA路由广播,攻击者伪造合法路由前缀,诱导内网设备将流量导向恶意服务器;第四类是公网IPv6地址暴露带来的暴力扫描攻击,独立公网IPv6地址没有NAT隐藏,所有端口直接暴露在全网,极易遭受弱口令爆破、漏洞利用入侵。
多地网信部门在6月组织多场IPv6安全专项培训,重点针对政企运维人员普及双栈网络安全防护要点,要求企业对内网IPv6地址进行网段精细化划分,按照业务区域配置防火墙访问策略,仅开放业务必需的端口与协议,关闭ICMPv6不必要的报文类型,限制NDP邻居发现范围,从网络底层阻断内网欺骗类攻击。同时要求所有IPv6访问流量日志需要和IPv4日志统一存储,留存时长不低于6个月,满足等保审计溯源要求。
想要顺利通过IPv6改造专项检查与等保测评,企业需要按照网络改造、安全配置、运维管理三步落地实施。
第一步,规划规范的IPv6地址网段,云主机、负载均衡、网站业务统一分配固定IPv6地址,完成DNSAAAA记录解析配置,保障官网、业务系统在IPv6网络下可稳定访问,同步做兼容性测试,避免网页样式错乱、接口访问异常。
第二步,全面升级边界安全设备固件版本,确保防火墙、WAF、审计设备完整支持IPv6协议,针对IPv6流量独立配置访问控制策略,只放行业务必需源地址与目标端口,关闭RA自动路由广播、全局NDP广播功能,部署入侵防御规则拦截分片攻击、NDP欺骗攻击。开启全流量日志采集,统一纳入日志审计平台存储归档,满足等保6个月日志留存要求。
第三步,建立IPv6常态化运维巡检机制,定期核查IPv6网段访问策略、地址分配情况,关闭闲置设备IPv6网络功能,定期做端口扫描、漏洞渗透测试,及时发现双栈架构下的安全防护盲区。对于暂时没有IPv6业务改造计划的企业,需要在边界设备直接禁用IPv6协议,避免无意间开通双栈网络却没有配套安全防护,触发等保合规整改处罚。
在数字新基建全面升级的大背景下,IPv6双栈化已经从政策鼓励转向强制落地,企业需要同步兼顾网络升级与安全建设,既顺应国家新型基础设施发展政策要求,补齐网络合规短板,又通过精细化的IPv6安全防护策略,堵住双栈环境下的网络攻击漏洞,实现业务高速稳定访问与网络安全合规双重目标。