国产免费观看青青草原网站_久久精品视频色悠悠_影音先锋激情5566_日本一區二區三區免費高清在線_麻豆精品一区综合av_丰满的大屁股一区二区_男女啪啪免费网站_草莓视频app在线观看下载_午夜寂寞少妇AA片_混乱的生物课月老师后续视频

 
您現(xiàn)在的位置:首頁 ? 知識(shí)庫 ? 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全
丨IPv6規(guī)模部署下的網(wǎng)絡(luò)安全防護(hù)丨IPv6安全過渡方案
發(fā)布日期:2018-02-03

IPv6從根本上解決了IPv4地址枯竭的問題,同時(shí),使用IPv6后,網(wǎng)絡(luò)中路由設(shè)備的路由表項(xiàng)將會(huì)變少,可以提高路由設(shè)備轉(zhuǎn)發(fā)報(bào)文的速率。而在IPv6網(wǎng)絡(luò)的搭建中,需要注意如下兩個(gè)場(chǎng)景,保證業(yè)務(wù)和應(yīng)用繼續(xù)平穩(wěn)運(yùn)行: 

· 在將網(wǎng)絡(luò)設(shè)備的IP地址升級(jí)為IPv6地址的同時(shí),對(duì)各種IP協(xié)議也進(jìn)行升級(jí),在保持IPv6主機(jī)的正常通信的同時(shí)解決原來IPv4網(wǎng)絡(luò)在效率和安全性上的固有缺陷。 

· 在IPv6網(wǎng)絡(luò)發(fā)展的過程中,提供IPv6過渡技術(shù),將IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)無縫地連接起來,使IPv6主機(jī)可以跨越現(xiàn)有的成熟的IPv4網(wǎng)絡(luò)進(jìn)行通信,或者使IPv6主機(jī)和IPv4主機(jī)進(jìn)行互相通信。 

 

針對(duì)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》,華為安全給出了IPv6規(guī)模部署下網(wǎng)絡(luò)安全防護(hù)的詳盡解讀,承接上期IPv6安全技術(shù),本期聚焦IPv6安全過渡方案,深入解讀IPv6過渡技術(shù)、3種典型過渡改造升級(jí)方案以及針對(duì)電子政務(wù)外網(wǎng)的IPv6升級(jí)改造方案。 

 

Q1:當(dāng)前主要有哪些IPv6過渡技術(shù)? 

 

 

目前,業(yè)界主要的過渡技術(shù)有IPv4/IPv6雙棧、IPv6隧道地址轉(zhuǎn)換。

 

 

Q2:如何用最小代價(jià)實(shí)現(xiàn)IPv4IPv6過渡和改造? 

 

IPv4IPv6的過渡不可能一蹴而就,在很長(zhǎng)一段時(shí)間內(nèi)兩者會(huì)共存。實(shí)際上,每個(gè)企業(yè)都有各自不同的業(yè)務(wù)特點(diǎn)和需求,需要找到適合自己的過渡方案。下面給出3種典型的過渡改造方案,僅供參考。  

 

方案一:邊界升級(jí)方案 

 

 

一些企業(yè)的業(yè)務(wù)可繼續(xù)用IPv4私有地址和NAT技術(shù),短期內(nèi)對(duì)IPv6無剛性需求。但有部分互聯(lián)網(wǎng)企業(yè)需要對(duì)外提供IPv6服務(wù)和接入能力,最迫切的就是通過企業(yè)邊界的防火墻等設(shè)備實(shí)現(xiàn)NAT64等地址轉(zhuǎn)換,以最低成本實(shí)現(xiàn)IPv6的服務(wù)訴求。

 


 

這類企業(yè)僅需要改造企業(yè)邊界的防火墻、路由器/交換機(jī)、日志審計(jì)等必要設(shè)備即可,通過邊界防火墻實(shí)現(xiàn)IPv6IPv4NAT64報(bào)文轉(zhuǎn)換,使得進(jìn)入企業(yè)內(nèi)部的流量全部轉(zhuǎn)換成IPv4流量,因此企業(yè)內(nèi)部的入侵檢測(cè)、WAF、網(wǎng)絡(luò)設(shè)備、服務(wù)器和終端等設(shè)備都不需要改造。

 

對(duì)于個(gè)別雙棧終端需要訪問外部的IPv6資源時(shí),可以通過ISATAP隧道技術(shù)實(shí)現(xiàn)雙棧終端穿越IPv4網(wǎng)絡(luò),實(shí)現(xiàn)IPv6資源的訪問需求。(RFC5214,且Windows已經(jīng)支持)

 

對(duì)于這類企業(yè),我們建議采用此方案實(shí)現(xiàn)最低成本的IPv6過渡和改造。

 

方案二:互聯(lián)網(wǎng)區(qū)升級(jí)方案

 

一些企業(yè)的業(yè)務(wù)主要依賴于互聯(lián)網(wǎng)用戶,如互聯(lián)網(wǎng)、游戲、金融等企業(yè),這些企業(yè)的外部互聯(lián)網(wǎng)區(qū)對(duì)外服務(wù)有著強(qiáng)烈的IPv6業(yè)務(wù)改造需求,但是對(duì)于內(nèi)部網(wǎng)絡(luò)和業(yè)務(wù),短期內(nèi)無剛性的IPv6改造需求,現(xiàn)有的IPv4私有地址和NAT技術(shù)完全可以勝任。

 

 

這類企業(yè)僅需要改造企業(yè)邊界的互聯(lián)網(wǎng)服務(wù)區(qū)的所有設(shè)備,包括邊界安全設(shè)備、網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng),一般建議升級(jí)互聯(lián)網(wǎng)區(qū)業(yè)務(wù)系統(tǒng)為雙棧,對(duì)外提供雙棧服務(wù),同時(shí)還要升級(jí)互聯(lián)網(wǎng)服務(wù)相關(guān)的網(wǎng)絡(luò)和安全設(shè)備,而Web服務(wù)器與內(nèi)部通信時(shí)仍保持IPv4連接,短期內(nèi)企業(yè)內(nèi)部網(wǎng)絡(luò)不需要改造。

 

對(duì)于這類企業(yè),我們建議采用此方案實(shí)現(xiàn)最低成本的IPv6過渡和改造。

 

方案三:全面升級(jí)方案

 

一些企業(yè)需要滿足國(guó)家政策性要求或者自身發(fā)展需求,需要大量IP地址,對(duì)IPv6網(wǎng)絡(luò)改造有迫切需求,需要全面升級(jí)到IPv4/IPv6雙棧網(wǎng)絡(luò)和服務(wù),我們建議應(yīng)立即啟動(dòng)升級(jí)前的準(zhǔn)備工作,做好現(xiàn)狀調(diào)查、規(guī)劃、升級(jí)計(jì)劃,預(yù)留充足時(shí)間完成平滑演進(jìn)。

在向IPv6過渡過程中,主要從兩個(gè)層面展開,一是對(duì)基礎(chǔ)網(wǎng)絡(luò)的逐步改造;二是對(duì)應(yīng)用業(yè)務(wù)進(jìn)行IPv4IPv6的遷移。總體來看,主要分如下五個(gè)階段展開:

 

 

IPv4

 

起始階段,所有基層網(wǎng)絡(luò)及應(yīng)用系統(tǒng)處于IPv4運(yùn)行狀態(tài)。

 

初期

 

主要完成對(duì)基礎(chǔ)設(shè)施的改造,為后續(xù)的業(yè)務(wù)升級(jí)改造打好基礎(chǔ)。

骨干網(wǎng)絡(luò):對(duì)于網(wǎng)絡(luò)核心層設(shè)備和網(wǎng)絡(luò)出口設(shè)備,應(yīng)在本階段就實(shí)現(xiàn)全部設(shè)備對(duì)IPv6的支持;

數(shù)據(jù)中心網(wǎng)絡(luò):對(duì)于數(shù)據(jù)中心網(wǎng)絡(luò)和設(shè)備,在建設(shè)初期,可對(duì)新建設(shè)的數(shù)據(jù)中心進(jìn)行IPv6升級(jí),并對(duì)舊數(shù)據(jù)中心采用邊界網(wǎng)關(guān)翻譯支持IPv6;隨著數(shù)據(jù)中心設(shè)備的更新和IPv6的建設(shè),后期應(yīng)實(shí)現(xiàn)數(shù)據(jù)中心的所有設(shè)備支持IPv6;

園區(qū)網(wǎng)絡(luò):對(duì)于網(wǎng)絡(luò)的接入和匯聚層設(shè)備,建議選取某一區(qū)域進(jìn)行IPv6升級(jí)試點(diǎn);支撐系統(tǒng):具備升級(jí)條件,本階段全部完成IPv6升級(jí)改造。

終端系統(tǒng):具備升級(jí)條件,本階段完成所有終端系統(tǒng)升級(jí)。

IPv6地址規(guī)劃與申請(qǐng)優(yōu)先級(jí)高,需要本階段完成。

 

發(fā)展期

 

園區(qū)網(wǎng)絡(luò):實(shí)現(xiàn)全部設(shè)備的IPv6升級(jí);

云平臺(tái):完成全部升級(jí)改造任務(wù);

應(yīng)用系統(tǒng):需要部分實(shí)現(xiàn)IPv6升級(jí)改造;

 

演進(jìn)后期

 

應(yīng)用系統(tǒng):本階段需要全部完成IPv6升級(jí)改造;

    

IPv6

 

剩余應(yīng)用系統(tǒng):比如辦公類、管理類等傳統(tǒng)應(yīng)用系統(tǒng)全部完成IPv6升級(jí)改造。

對(duì)于這類企業(yè),我們建議在過渡方案開展前做好充分調(diào)研和計(jì)劃制定,以最小代價(jià)完成IPv6平滑過渡和改造。

 

Q3:電子政務(wù)外網(wǎng)如何進(jìn)行IPv6升級(jí)改造?

 

? 保障網(wǎng)絡(luò)質(zhì)量:IPv6過渡應(yīng)實(shí)現(xiàn)平滑過渡,保障現(xiàn)有IPv4業(yè)務(wù)不受影響,IPv6業(yè)務(wù)質(zhì)量不低于IPv4業(yè)務(wù)質(zhì)量;

 

? 控制改造成本:IPv6過渡應(yīng)保護(hù)現(xiàn)有投資,盡量降低升級(jí)成本和網(wǎng)絡(luò)改造量;

 

? 選擇通用技術(shù):IPv6過渡技術(shù)應(yīng)選擇符合相關(guān)國(guó)內(nèi)外標(biāo)準(zhǔn)的通用技術(shù),避免采用私有標(biāo)準(zhǔn)或非開放協(xié)議。

 

根據(jù)業(yè)界通用的升級(jí)改造經(jīng)驗(yàn)和原則,建議采取網(wǎng)絡(luò)和安全先行業(yè)務(wù)隨后接入的策略。

 

 

網(wǎng)絡(luò)和安全先行

 

廣域網(wǎng)/城域網(wǎng)是提供IPv6端到端連接的基礎(chǔ),需要先行改造以支持IPv6。

 

電子政務(wù)外網(wǎng)在向IPv6演進(jìn)過程中,會(huì)同時(shí)承載IPv4IPv6兩種流量,考慮到系統(tǒng)穩(wěn)定性和業(yè)務(wù)過渡的連續(xù)性,網(wǎng)絡(luò)升級(jí)主要以IPv4/IPv6雙棧為主,輔以翻譯和隧道技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)的平穩(wěn)升級(jí)。

 

廣域網(wǎng)/城域網(wǎng):由于其網(wǎng)絡(luò)規(guī)模有限,且現(xiàn)網(wǎng)中的路由器一般都支持IPv4/IPv6協(xié)議雙棧,能夠同時(shí)轉(zhuǎn)發(fā)IPv4IPv6兩種流量,只需替換升級(jí)個(gè)別無法升級(jí)到IPv6的路由器即可。

 

政務(wù)云網(wǎng)絡(luò):由于政務(wù)云數(shù)據(jù)中心網(wǎng)絡(luò)承載了眾多委辦局業(yè)務(wù)系統(tǒng),不同委辦局的IPv6升級(jí)節(jié)奏也各不相同,為兼容各業(yè)務(wù)系統(tǒng)平滑演進(jìn),建議把網(wǎng)絡(luò)升級(jí)成IPv4/IPv6雙棧,可同時(shí)承載IPv4/IPv6兩種流量,各委辦局可根據(jù)自身演進(jìn)節(jié)奏靈活選擇接入方式。

 

另外,在IPv6升級(jí)改造過程中,為避免威脅從IPv6網(wǎng)絡(luò)滲透到電子政務(wù)外網(wǎng),網(wǎng)絡(luò)安全設(shè)備及其它安全系統(tǒng)應(yīng)先行支持IPv6協(xié)議,建議先對(duì)現(xiàn)網(wǎng)部署范圍廣且必不可少的安全設(shè)備,如防火墻、入侵檢測(cè)系統(tǒng)應(yīng)優(yōu)先升級(jí)改造,對(duì)不支持IPv6的老舊設(shè)備應(yīng)盡替換,確保等級(jí)保護(hù)標(biāo)準(zhǔn)不受影響。

 

業(yè)務(wù)接入隨后

 

大部分委辦局業(yè)務(wù)系統(tǒng)是基于行業(yè)通用的架構(gòu)進(jìn)行的開發(fā)建設(shè),涉及到應(yīng)用前端、中間件、數(shù)據(jù)庫等多個(gè)組件,這些在架構(gòu)上有著很強(qiáng)的共性,在IPv6的演進(jìn)過程中將會(huì)面臨著同樣的問題,升級(jí)方案有著很強(qiáng)的一致性。因此,建議盡快挑選升級(jí)需求迫切委辦局業(yè)務(wù)系統(tǒng)進(jìn)行改造,摸索經(jīng)驗(yàn),最后再實(shí)現(xiàn)整體委辦局業(yè)務(wù)的IPv6升級(jí)改造

  • 1.公司登記注冊(cè)于2003年1月27日,清遠(yuǎn)市桑達(dá)電子網(wǎng)絡(luò)媒體有限公司
    2.公司2006年起成為清遠(yuǎn)市政府定點(diǎn)協(xié)議供貨商,電子采購(gòu)供貨商
    3.公司2007年被清遠(yuǎn)市相關(guān)政府部門評(píng)為安防行業(yè)狀元
    4.公司2007年起成為長(zhǎng)城電腦清遠(yuǎn)如意服務(wù)站(SP368)
    5.公司2007年承建清遠(yuǎn)市橫河路口電子警察工程,開創(chuàng)清遠(yuǎn)電子警察先河。
  • 6.公司2007年起成為IBM合作伙伴、公司2010年底成為金蝶軟件清遠(yuǎn)金牌代理(伙伴編號(hào):30030013)
    7.公司組團(tuán)隊(duì)參加南方都市報(bào)組織的創(chuàng)富評(píng)選,獲廣東80強(qiáng)。公司申請(qǐng)多項(xiàng)軟件著作權(quán)、專利權(quán)
    8.2016年起公司成為粵東西北地區(qū)為數(shù)不多的雙軟企業(yè),確立“讓軟件驅(qū)動(dòng)世界,讓智能改變生活!"企業(yè)理想
    9.2016-01-29更名為廣東互動(dòng)電子網(wǎng)絡(luò)媒體有限公司
    10.2021-01-13更名為廣東互動(dòng)電子有限公司
  • 投資合作咨詢熱線電話:0763-3391888 3323588
  • 做一個(gè)負(fù)責(zé)任的百年企業(yè)! 天行健,君子以自強(qiáng)不息;地勢(shì)坤,君子以厚德載物;
    為用戶創(chuàng)造價(jià)值! 讓軟件驅(qū)動(dòng)世界; 讓智能改變生活; 超越顧客期望,幫助顧客成功;
    對(duì)客戶負(fù)責(zé),對(duì)員工負(fù)責(zé),對(duì)企業(yè)命運(yùn)負(fù)責(zé)!幫助支持公司的客戶成功;幫助忠誠(chéng)于公司的員工成功!
  • 聯(lián)系電話:0763-3391888 3323588 3318977
    服務(wù)熱線:18023314222 QQ:529623964
  • 工作QQ:2501204690 商務(wù)QQ: 602045550
    投資及業(yè)務(wù)投訴QQ: 529623964
    微信:小米哥 微信號(hào):qysed3391888
    騰訊微博:桑達(dá)網(wǎng)絡(luò)-基石與起點(diǎn)
  • E-MAIL:222#QYSED.CN ok3391888#163.com (請(qǐng)用@替換#)
在線客服
  • 系統(tǒng)集成咨詢
    點(diǎn)擊這里給我發(fā)消息
  • 網(wǎng)站\微信\軟件咨詢
    點(diǎn)擊這里給我發(fā)消息
  • 售后服務(wù)
    點(diǎn)擊這里給我發(fā)消息
  • 投資合作
    點(diǎn)擊這里給我發(fā)消息