- 網(wǎng)絡(luò)安全
-
IPv6從根本上解決了IPv4地址枯竭的問題,同時(shí),使用IPv6后,網(wǎng)絡(luò)中路由設(shè)備的路由表項(xiàng)將會(huì)變少,可以提高路由設(shè)備轉(zhuǎn)發(fā)報(bào)文的速率。而在IPv6網(wǎng)絡(luò)的搭建中,需要注意如下兩個(gè)場景,保證業(yè)務(wù)和應(yīng)用繼續(xù)平穩(wěn)運(yùn)行:
· 在將網(wǎng)絡(luò)設(shè)備的IP地址升級為IPv6地址的同時(shí),對各種IP協(xié)議也進(jìn)行升級,在保持IPv6主機(jī)的正常通信的同時(shí)解決原來IPv4網(wǎng)絡(luò)在效率和安全性上的固有缺陷。
· 在IPv6網(wǎng)絡(luò)發(fā)展的過程中,提供IPv6過渡技術(shù),將IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)無縫地連接起來,使IPv6主機(jī)可以跨越現(xiàn)有的成熟的IPv4網(wǎng)絡(luò)進(jìn)行通信,或者使IPv6主機(jī)和IPv4主機(jī)進(jìn)行互相通信。
針對《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》,華為安全給出了IPv6規(guī)模部署下網(wǎng)絡(luò)安全防護(hù)的詳盡解讀,承接上期IPv6安全技術(shù),本期聚焦IPv6安全過渡方案,深入解讀IPv6過渡技術(shù)、3種典型過渡改造升級方案以及針對電子政務(wù)外網(wǎng)的IPv6升級改造方案。
Q1:當(dāng)前主要有哪些IPv6過渡技術(shù)?
目前,業(yè)界主要的過渡技術(shù)有IPv4/IPv6雙棧、IPv6隧道和地址轉(zhuǎn)換。
Q2:如何用最小代價(jià)實(shí)現(xiàn)IPv4到IPv6過渡和改造?
IPv4向IPv6的過渡不可能一蹴而就,在很長一段時(shí)間內(nèi)兩者會(huì)共存。實(shí)際上,每個(gè)企業(yè)都有各自不同的業(yè)務(wù)特點(diǎn)和需求,需要找到適合自己的過渡方案。下面給出3種典型的過渡改造方案,僅供參考。
方案一:邊界升級方案
一些企業(yè)的業(yè)務(wù)可繼續(xù)用IPv4私有地址和NAT技術(shù),短期內(nèi)對IPv6無剛性需求。但有部分互聯(lián)網(wǎng)企業(yè)需要對外提供IPv6服務(wù)和接入能力,最迫切的就是通過企業(yè)邊界的防火墻等設(shè)備實(shí)現(xiàn)NAT64等地址轉(zhuǎn)換,以最低成本實(shí)現(xiàn)IPv6的服務(wù)訴求。
這類企業(yè)僅需要改造企業(yè)邊界的防火墻、路由器/交換機(jī)、日志審計(jì)等必要設(shè)備即可,通過邊界防火墻實(shí)現(xiàn)IPv6到IPv4的NAT64報(bào)文轉(zhuǎn)換,使得進(jìn)入企業(yè)內(nèi)部的流量全部轉(zhuǎn)換成IPv4流量,因此企業(yè)內(nèi)部的入侵檢測、WAF、網(wǎng)絡(luò)設(shè)備、服務(wù)器和終端等設(shè)備都不需要改造。
對于個(gè)別雙棧終端需要訪問外部的IPv6資源時(shí),可以通過ISATAP隧道技術(shù)實(shí)現(xiàn)雙棧終端穿越IPv4網(wǎng)絡(luò),實(shí)現(xiàn)IPv6資源的訪問需求。(RFC5214,且Windows已經(jīng)支持)
對于這類企業(yè),我們建議采用此方案實(shí)現(xiàn)最低成本的IPv6過渡和改造。
方案二:互聯(lián)網(wǎng)區(qū)升級方案
一些企業(yè)的業(yè)務(wù)主要依賴于互聯(lián)網(wǎng)用戶,如互聯(lián)網(wǎng)、游戲、金融等企業(yè),這些企業(yè)的外部互聯(lián)網(wǎng)區(qū)對外服務(wù)有著強(qiáng)烈的IPv6業(yè)務(wù)改造需求,但是對于內(nèi)部網(wǎng)絡(luò)和業(yè)務(wù),短期內(nèi)無剛性的IPv6改造需求,現(xiàn)有的IPv4私有地址和NAT技術(shù)完全可以勝任。
這類企業(yè)僅需要改造企業(yè)邊界的互聯(lián)網(wǎng)服務(wù)區(qū)的所有設(shè)備,包括邊界安全設(shè)備、網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng),一般建議升級互聯(lián)網(wǎng)區(qū)業(yè)務(wù)系統(tǒng)為雙棧,對外提供雙棧服務(wù),同時(shí)還要升級互聯(lián)網(wǎng)服務(wù)相關(guān)的網(wǎng)絡(luò)和安全設(shè)備,而Web服務(wù)器與內(nèi)部通信時(shí)仍保持IPv4連接,短期內(nèi)企業(yè)內(nèi)部網(wǎng)絡(luò)不需要改造。
對于這類企業(yè),我們建議采用此方案實(shí)現(xiàn)最低成本的IPv6過渡和改造。
方案三:全面升級方案
一些企業(yè)需要滿足國家政策性要求或者自身發(fā)展需求,需要大量IP地址,對IPv6網(wǎng)絡(luò)改造有迫切需求,需要全面升級到IPv4/IPv6雙棧網(wǎng)絡(luò)和服務(wù),我們建議應(yīng)立即啟動(dòng)升級前的準(zhǔn)備工作,做好現(xiàn)狀調(diào)查、規(guī)劃、升級計(jì)劃,預(yù)留充足時(shí)間完成平滑演進(jìn)。
在向IPv6過渡過程中,主要從兩個(gè)層面展開,一是對基礎(chǔ)網(wǎng)絡(luò)的逐步改造;二是對應(yīng)用業(yè)務(wù)進(jìn)行IPv4向IPv6的遷移??傮w來看,主要分如下五個(gè)階段展開:
全IPv4期
起始階段,所有基層網(wǎng)絡(luò)及應(yīng)用系統(tǒng)處于IPv4運(yùn)行狀態(tài)。
初期
主要完成對基礎(chǔ)設(shè)施的改造,為后續(xù)的業(yè)務(wù)升級改造打好基礎(chǔ)。
骨干網(wǎng)絡(luò):對于網(wǎng)絡(luò)核心層設(shè)備和網(wǎng)絡(luò)出口設(shè)備,應(yīng)在本階段就實(shí)現(xiàn)全部設(shè)備對IPv6的支持;
數(shù)據(jù)中心網(wǎng)絡(luò):對于數(shù)據(jù)中心網(wǎng)絡(luò)和設(shè)備,在建設(shè)初期,可對新建設(shè)的數(shù)據(jù)中心進(jìn)行IPv6升級,并對舊數(shù)據(jù)中心采用邊界網(wǎng)關(guān)翻譯支持IPv6;隨著數(shù)據(jù)中心設(shè)備的更新和IPv6的建設(shè),后期應(yīng)實(shí)現(xiàn)數(shù)據(jù)中心的所有設(shè)備支持IPv6;
園區(qū)網(wǎng)絡(luò):對于網(wǎng)絡(luò)的接入和匯聚層設(shè)備,建議選取某一區(qū)域進(jìn)行IPv6升級試點(diǎn);支撐系統(tǒng):具備升級條件,本階段全部完成IPv6升級改造。
終端系統(tǒng):具備升級條件,本階段完成所有終端系統(tǒng)升級。
IPv6地址規(guī)劃與申請優(yōu)先級高,需要本階段完成。
發(fā)展期
園區(qū)網(wǎng)絡(luò):實(shí)現(xiàn)全部設(shè)備的IPv6升級;
云平臺(tái):完成全部升級改造任務(wù);
應(yīng)用系統(tǒng):需要部分實(shí)現(xiàn)IPv6升級改造;
演進(jìn)后期
應(yīng)用系統(tǒng):本階段需要全部完成IPv6升級改造;
全IPv6期
剩余應(yīng)用系統(tǒng):比如辦公類、管理類等傳統(tǒng)應(yīng)用系統(tǒng)全部完成IPv6升級改造。
對于這類企業(yè),我們建議在過渡方案開展前做好充分調(diào)研和計(jì)劃制定,以最小代價(jià)完成IPv6平滑過渡和改造。
Q3:電子政務(wù)外網(wǎng)如何進(jìn)行IPv6升級改造?
? 保障網(wǎng)絡(luò)質(zhì)量:IPv6過渡應(yīng)實(shí)現(xiàn)平滑過渡,保障現(xiàn)有IPv4業(yè)務(wù)不受影響,IPv6業(yè)務(wù)質(zhì)量不低于IPv4業(yè)務(wù)質(zhì)量;
? 控制改造成本:IPv6過渡應(yīng)保護(hù)現(xiàn)有投資,盡量降低升級成本和網(wǎng)絡(luò)改造量;
? 選擇通用技術(shù):IPv6過渡技術(shù)應(yīng)選擇符合相關(guān)國內(nèi)外標(biāo)準(zhǔn)的通用技術(shù),避免采用私有標(biāo)準(zhǔn)或非開放協(xié)議。
根據(jù)業(yè)界通用的升級改造經(jīng)驗(yàn)和原則,建議采取網(wǎng)絡(luò)和安全先行、業(yè)務(wù)隨后接入的策略。
網(wǎng)絡(luò)和安全先行
廣域網(wǎng)/城域網(wǎng)是提供IPv6端到端連接的基礎(chǔ),需要先行改造以支持IPv6。
電子政務(wù)外網(wǎng)在向IPv6演進(jìn)過程中,會(huì)同時(shí)承載IPv4和IPv6兩種流量,考慮到系統(tǒng)穩(wěn)定性和業(yè)務(wù)過渡的連續(xù)性,網(wǎng)絡(luò)升級主要以IPv4/IPv6雙棧為主,輔以翻譯和隧道技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)的平穩(wěn)升級。
廣域網(wǎng)/城域網(wǎng):由于其網(wǎng)絡(luò)規(guī)模有限,且現(xiàn)網(wǎng)中的路由器一般都支持IPv4/IPv6協(xié)議雙棧,能夠同時(shí)轉(zhuǎn)發(fā)IPv4和IPv6兩種流量,只需替換升級個(gè)別無法升級到IPv6的路由器即可。
政務(wù)云網(wǎng)絡(luò):由于政務(wù)云數(shù)據(jù)中心網(wǎng)絡(luò)承載了眾多委辦局業(yè)務(wù)系統(tǒng),不同委辦局的IPv6升級節(jié)奏也各不相同,為兼容各業(yè)務(wù)系統(tǒng)平滑演進(jìn),建議把網(wǎng)絡(luò)升級成IPv4/IPv6雙棧,可同時(shí)承載IPv4/IPv6兩種流量,各委辦局可根據(jù)自身演進(jìn)節(jié)奏靈活選擇接入方式。
另外,在IPv6升級改造過程中,為避免威脅從IPv6網(wǎng)絡(luò)滲透到電子政務(wù)外網(wǎng),網(wǎng)絡(luò)安全設(shè)備及其它安全系統(tǒng)應(yīng)先行支持IPv6協(xié)議,建議先對現(xiàn)網(wǎng)部署范圍廣且必不可少的安全設(shè)備,如防火墻、入侵檢測系統(tǒng)應(yīng)優(yōu)先升級改造,對不支持IPv6的老舊設(shè)備應(yīng)盡替換,確保等級保護(hù)標(biāo)準(zhǔn)不受影響。
業(yè)務(wù)接入隨后
大部分委辦局業(yè)務(wù)系統(tǒng)是基于行業(yè)通用的架構(gòu)進(jìn)行的開發(fā)建設(shè),涉及到應(yīng)用前端、中間件、數(shù)據(jù)庫等多個(gè)組件,這些在架構(gòu)上有著很強(qiáng)的共性,在IPv6的演進(jìn)過程中將會(huì)面臨著同樣的問題,升級方案有著很強(qiáng)的一致性。因此,建議盡快挑選升級需求迫切委辦局業(yè)務(wù)系統(tǒng)進(jìn)行改造,摸索經(jīng)驗(yàn),最后再實(shí)現(xiàn)整體委辦局業(yè)務(wù)的IPv6升級改造