網(wǎng)絡(luò)安全

丨IPv6規(guī)模部署下的網(wǎng)絡(luò)安全防護(hù)丨IPv6安全過渡方案

IPv6從根本上解決了IPv4地址枯竭的問題，同時(shí)，使用IPv6后，網(wǎng)絡(luò)中路由設(shè)備的路由表項(xiàng)將會(huì)變少，可以提高路由設(shè)備轉(zhuǎn)發(fā)報(bào)文的速率。而在IPv6網(wǎng)絡(luò)的搭建中，需要注意如下兩個(gè)場景，保證業(yè)務(wù)和應(yīng)用繼續(xù)平穩(wěn)運(yùn)行：

· 在將網(wǎng)絡(luò)設(shè)備的IP地址升級為IPv6地址的同時(shí)，對各種IP協(xié)議也進(jìn)行升級，在保持IPv6主機(jī)的正常通信的同時(shí)解決原來IPv4網(wǎng)絡(luò)在效率和安全性上的固有缺陷。

· 在IPv6網(wǎng)絡(luò)發(fā)展的過程中，提供IPv6過渡技術(shù)，將IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)無縫地連接起來，使IPv6主機(jī)可以跨越現(xiàn)有的成熟的IPv4網(wǎng)絡(luò)進(jìn)行通信，或者使IPv6主機(jī)和IPv4主機(jī)進(jìn)行互相通信。

針對《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》，華為安全給出了IPv6規(guī)模部署下網(wǎng)絡(luò)安全防護(hù)的詳盡解讀，承接上期IPv6安全技術(shù)，本期聚焦IPv6安全過渡方案，深入解讀IPv6過渡技術(shù)、3種典型過渡改造升級方案以及針對電子政務(wù)外網(wǎng)的IPv6升級改造方案。

Q1：當(dāng)前主要有哪些IPv6過渡技術(shù)？

目前，業(yè)界主要的過渡技術(shù)有IPv4/IPv6雙棧、IPv6隧道和地址轉(zhuǎn)換。

Q2：如何用最小代價(jià)實(shí)現(xiàn)IPv4到IPv6過渡和改造？

IPv4向IPv6的過渡不可能一蹴而就，在很長一段時(shí)間內(nèi)兩者會(huì)共存。實(shí)際上，每個(gè)企業(yè)都有各自不同的業(yè)務(wù)特點(diǎn)和需求，需要找到適合自己的過渡方案。下面給出3種典型的過渡改造方案，僅供參考。

方案一：邊界升級方案

一些企業(yè)的業(yè)務(wù)可繼續(xù)用IPv4私有地址和NAT技術(shù)，短期內(nèi)對IPv6無剛性需求。但有部分互聯(lián)網(wǎng)企業(yè)需要對外提供IPv6服務(wù)和接入能力，最迫切的就是通過企業(yè)邊界的防火墻等設(shè)備實(shí)現(xiàn)NAT64等地址轉(zhuǎn)換，以最低成本實(shí)現(xiàn)IPv6的服務(wù)訴求。

這類企業(yè)僅需要改造企業(yè)邊界的防火墻、路由器/交換機(jī)、日志審計(jì)等必要設(shè)備即可，通過邊界防火墻實(shí)現(xiàn)IPv6到IPv4的NAT64報(bào)文轉(zhuǎn)換，使得進(jìn)入企業(yè)內(nèi)部的流量全部轉(zhuǎn)換成IPv4流量，因此企業(yè)內(nèi)部的入侵檢測、WAF、網(wǎng)絡(luò)設(shè)備、服務(wù)器和終端等設(shè)備都不需要改造。

對于個(gè)別雙棧終端需要訪問外部的IPv6資源時(shí)，可以通過ISATAP隧道技術(shù)實(shí)現(xiàn)雙棧終端穿越IPv4網(wǎng)絡(luò)，實(shí)現(xiàn)IPv6資源的訪問需求。（RFC5214，且Windows已經(jīng)支持）

對于這類企業(yè)，我們建議采用此方案實(shí)現(xiàn)最低成本的IPv6過渡和改造。

方案二：互聯(lián)網(wǎng)區(qū)升級方案

一些企業(yè)的業(yè)務(wù)主要依賴于互聯(lián)網(wǎng)用戶，如互聯(lián)網(wǎng)、游戲、金融等企業(yè)，這些企業(yè)的外部互聯(lián)網(wǎng)區(qū)對外服務(wù)有著強(qiáng)烈的IPv6業(yè)務(wù)改造需求，但是對于內(nèi)部網(wǎng)絡(luò)和業(yè)務(wù)，短期內(nèi)無剛性的IPv6改造需求，現(xiàn)有的IPv4私有地址和NAT技術(shù)完全可以勝任。

這類企業(yè)僅需要改造企業(yè)邊界的互聯(lián)網(wǎng)服務(wù)區(qū)的所有設(shè)備，包括邊界安全設(shè)備、網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng)，一般建議升級互聯(lián)網(wǎng)區(qū)業(yè)務(wù)系統(tǒng)為雙棧，對外提供雙棧服務(wù)，同時(shí)還要升級互聯(lián)網(wǎng)服務(wù)相關(guān)的網(wǎng)絡(luò)和安全設(shè)備，而Web服務(wù)器與內(nèi)部通信時(shí)仍保持IPv4連接，短期內(nèi)企業(yè)內(nèi)部網(wǎng)絡(luò)不需要改造。

對于這類企業(yè)，我們建議采用此方案實(shí)現(xiàn)最低成本的IPv6過渡和改造。

方案三：全面升級方案

一些企業(yè)需要滿足國家政策性要求或者自身發(fā)展需求，需要大量IP地址，對IPv6網(wǎng)絡(luò)改造有迫切需求，需要全面升級到IPv4/IPv6雙棧網(wǎng)絡(luò)和服務(wù)，我們建議應(yīng)立即啟動(dòng)升級前的準(zhǔn)備工作，做好現(xiàn)狀調(diào)查、規(guī)劃、升級計(jì)劃，預(yù)留充足時(shí)間完成平滑演進(jìn)。

在向IPv6過渡過程中，主要從兩個(gè)層面展開，一是對基礎(chǔ)網(wǎng)絡(luò)的逐步改造；二是對應(yīng)用業(yè)務(wù)進(jìn)行IPv4向IPv6的遷移?？傮w來看，主要分如下五個(gè)階段展開：

全IPv4期

起始階段，所有基層網(wǎng)絡(luò)及應(yīng)用系統(tǒng)處于IPv4運(yùn)行狀態(tài)。

初期

主要完成對基礎(chǔ)設(shè)施的改造，為后續(xù)的業(yè)務(wù)升級改造打好基礎(chǔ)。

骨干網(wǎng)絡(luò)：對于網(wǎng)絡(luò)核心層設(shè)備和網(wǎng)絡(luò)出口設(shè)備，應(yīng)在本階段就實(shí)現(xiàn)全部設(shè)備對IPv6的支持；

數(shù)據(jù)中心網(wǎng)絡(luò)：對于數(shù)據(jù)中心網(wǎng)絡(luò)和設(shè)備，在建設(shè)初期，可對新建設(shè)的數(shù)據(jù)中心進(jìn)行IPv6升級，并對舊數(shù)據(jù)中心采用邊界網(wǎng)關(guān)翻譯支持IPv6；隨著數(shù)據(jù)中心設(shè)備的更新和IPv6的建設(shè)，后期應(yīng)實(shí)現(xiàn)數(shù)據(jù)中心的所有設(shè)備支持IPv6；

園區(qū)網(wǎng)絡(luò)：對于網(wǎng)絡(luò)的接入和匯聚層設(shè)備，建議選取某一區(qū)域進(jìn)行IPv6升級試點(diǎn)；支撐系統(tǒng)：具備升級條件，本階段全部完成IPv6升級改造。

終端系統(tǒng)：具備升級條件，本階段完成所有終端系統(tǒng)升級。

IPv6地址規(guī)劃與申請優(yōu)先級高，需要本階段完成。

發(fā)展期

園區(qū)網(wǎng)絡(luò)：實(shí)現(xiàn)全部設(shè)備的IPv6升級；

云平臺(tái)：完成全部升級改造任務(wù)；

應(yīng)用系統(tǒng)：需要部分實(shí)現(xiàn)IPv6升級改造；

演進(jìn)后期

應(yīng)用系統(tǒng)：本階段需要全部完成IPv6升級改造；

全IPv6期

剩余應(yīng)用系統(tǒng)：比如辦公類、管理類等傳統(tǒng)應(yīng)用系統(tǒng)全部完成IPv6升級改造。

對于這類企業(yè)，我們建議在過渡方案開展前做好充分調(diào)研和計(jì)劃制定，以最小代價(jià)完成IPv6平滑過渡和改造。

Q3：電子政務(wù)外網(wǎng)如何進(jìn)行IPv6升級改造？

? 保障網(wǎng)絡(luò)質(zhì)量：IPv6過渡應(yīng)實(shí)現(xiàn)平滑過渡，保障現(xiàn)有IPv4業(yè)務(wù)不受影響，IPv6業(yè)務(wù)質(zhì)量不低于IPv4業(yè)務(wù)質(zhì)量；

? 控制改造成本：IPv6過渡應(yīng)保護(hù)現(xiàn)有投資，盡量降低升級成本和網(wǎng)絡(luò)改造量；

? 選擇通用技術(shù)：IPv6過渡技術(shù)應(yīng)選擇符合相關(guān)國內(nèi)外標(biāo)準(zhǔn)的通用技術(shù)，避免采用私有標(biāo)準(zhǔn)或非開放協(xié)議。

根據(jù)業(yè)界通用的升級改造經(jīng)驗(yàn)和原則，建議采取網(wǎng)絡(luò)和安全先行、業(yè)務(wù)隨后接入的策略。

網(wǎng)絡(luò)和安全先行

廣域網(wǎng)/城域網(wǎng)是提供IPv6端到端連接的基礎(chǔ)，需要先行改造以支持IPv6。

電子政務(wù)外網(wǎng)在向IPv6演進(jìn)過程中，會(huì)同時(shí)承載IPv4和IPv6兩種流量，考慮到系統(tǒng)穩(wěn)定性和業(yè)務(wù)過渡的連續(xù)性，網(wǎng)絡(luò)升級主要以IPv4/IPv6雙棧為主，輔以翻譯和隧道技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)的平穩(wěn)升級。

廣域網(wǎng)/城域網(wǎng)：由于其網(wǎng)絡(luò)規(guī)模有限，且現(xiàn)網(wǎng)中的路由器一般都支持IPv4/IPv6協(xié)議雙棧，能夠同時(shí)轉(zhuǎn)發(fā)IPv4和IPv6兩種流量，只需替換升級個(gè)別無法升級到IPv6的路由器即可。

政務(wù)云網(wǎng)絡(luò)：由于政務(wù)云數(shù)據(jù)中心網(wǎng)絡(luò)承載了眾多委辦局業(yè)務(wù)系統(tǒng)，不同委辦局的IPv6升級節(jié)奏也各不相同，為兼容各業(yè)務(wù)系統(tǒng)平滑演進(jìn)，建議把網(wǎng)絡(luò)升級成IPv4/IPv6雙棧，可同時(shí)承載IPv4/IPv6兩種流量，各委辦局可根據(jù)自身演進(jìn)節(jié)奏靈活選擇接入方式。

另外，在IPv6升級改造過程中，為避免威脅從IPv6網(wǎng)絡(luò)滲透到電子政務(wù)外網(wǎng)，網(wǎng)絡(luò)安全設(shè)備及其它安全系統(tǒng)應(yīng)先行支持IPv6協(xié)議，建議先對現(xiàn)網(wǎng)部署范圍廣且必不可少的安全設(shè)備，如防火墻、入侵檢測系統(tǒng)應(yīng)優(yōu)先升級改造，對不支持IPv6的老舊設(shè)備應(yīng)盡替換，確保等級保護(hù)標(biāo)準(zhǔn)不受影響。

業(yè)務(wù)接入隨后

大部分委辦局業(yè)務(wù)系統(tǒng)是基于行業(yè)通用的架構(gòu)進(jìn)行的開發(fā)建設(shè)，涉及到應(yīng)用前端、中間件、數(shù)據(jù)庫等多個(gè)組件，這些在架構(gòu)上有著很強(qiáng)的共性，在IPv6的演進(jìn)過程中將會(huì)面臨著同樣的問題，升級方案有著很強(qiáng)的一致性。因此，建議盡快挑選升級需求迫切委辦局業(yè)務(wù)系統(tǒng)進(jìn)行改造，摸索經(jīng)驗(yàn)，最后再實(shí)現(xiàn)整體委辦局業(yè)務(wù)的IPv6升級改造