- 网络安全
-
IPv6从根本上解决了IPv4地址枯竭的问题,同时,使用IPv6后,网络中路由设备的路由表项将会变少,可以提高路由设备转发报文的速率。而在IPv6网络的搭建中,需要注意如下两个场景,保证业务和应用继续平稳运行:
· 在将网络设备的IP地址升级为IPv6地址的同时,对各种IP协议也进行升级,在保持IPv6主机的正常通信的同时解决原来IPv4网络在效率和安全性上的固有缺陷。
· 在IPv6网络发展的过程中,提供IPv6过渡技术,将IPv6网络和IPv4网络无缝地连接起来,使IPv6主机可以跨越现有的成熟的IPv4网络进行通信,或者使IPv6主机和IPv4主机进行互相通信。
针对《推进互联网协议第六版(IPv6)规模部署行动计划》,华为安全给出了IPv6规模部署下网络安全防护的详尽解读,承接上期IPv6安全技术,本期聚焦IPv6安全过渡方案,深入解读IPv6过渡技术、3种典型过渡改造升级方案以及针对电子政务外网的IPv6升级改造方案。
Q1:当前主要有哪些IPv6过渡技术?
目前,业界主要的过渡技术有IPv4/IPv6双栈、IPv6隧道和地址转换。
Q2:如何用最小代价实现IPv4到IPv6过渡和改造?
IPv4向IPv6的过渡不可能一蹴而就,在很长一段时间内两者会共存。实际上,每个企业都有各自不同的业务特点和需求,需要找到适合自己的过渡方案。下面给出3种典型的过渡改造方案,仅供参考。
方案一:边界升级方案
一些企业的业务可继续用IPv4私有地址和NAT技术,短期内对IPv6无刚性需求。但有部分互联网企业需要对外提供IPv6服务和接入能力,最迫切的就是通过企业边界的防火墙等设备实现NAT64等地址转换,以最低成本实现IPv6的服务诉求。
这类企业仅需要改造企业边界的防火墙、路由器/交换机、日志审计等必要设备即可,通过边界防火墙实现IPv6到IPv4的NAT64报文转换,使得进入企业内部的流量全部转换成IPv4流量,因此企业内部的入侵检测、WAF、网络设备、服务器和终端等设备都不需要改造。
对于个别双栈终端需要访问外部的IPv6资源时,可以通过ISATAP隧道技术实现双栈终端穿越IPv4网络,实现IPv6资源的访问需求。(RFC5214,且Windows已经支持)
对于这类企业,我们建议采用此方案实现最低成本的IPv6过渡和改造。
方案二:互联网区升级方案
一些企业的业务主要依赖于互联网用户,如互联网、游戏、金融等企业,这些企业的外部互联网区对外服务有着强烈的IPv6业务改造需求,但是对于内部网络和业务,短期内无刚性的IPv6改造需求,现有的IPv4私有地址和NAT技术完全可以胜任。
这类企业仅需要改造企业边界的互联网服务区的所有设备,包括边界安全设备、网络设备和业务系统,一般建议升级互联网区业务系统为双栈,对外提供双栈服务,同时还要升级互联网服务相关的网络和安全设备,而Web服务器与内部通信时仍保持IPv4连接,短期内企业内部网络不需要改造。
对于这类企业,我们建议采用此方案实现最低成本的IPv6过渡和改造。
方案三:全面升级方案
一些企业需要满足国家政策性要求或者自身发展需求,需要大量IP地址,对IPv6网络改造有迫切需求,需要全面升级到IPv4/IPv6双栈网络和服务,我们建议应立即启动升级前的准备工作,做好现状调查、规划、升级计划,预留充足时间完成平滑演进。
在向IPv6过渡过程中,主要从两个层面展开,一是对基础网络的逐步改造;二是对应用业务进行IPv4向IPv6的迁移。总体来看,主要分如下五个阶段展开:
全IPv4期
起始阶段,所有基层网络及应用系统处于IPv4运行状态。
初期
主要完成对基础设施的改造,为后续的业务升级改造打好基础。
骨干网络:对于网络核心层设备和网络出口设备,应在本阶段就实现全部设备对IPv6的支持;
数据中心网络:对于数据中心网络和设备,在建设初期,可对新建设的数据中心进行IPv6升级,并对旧数据中心采用边界网关翻译支持IPv6;随着数据中心设备的更新和IPv6的建设,后期应实现数据中心的所有设备支持IPv6;
园区网络:对于网络的接入和汇聚层设备,建议选取某一区域进行IPv6升级试点;支撑系统:具备升级条件,本阶段全部完成IPv6升级改造。
终端系统:具备升级条件,本阶段完成所有终端系统升级。
IPv6地址规划与申请优先级高,需要本阶段完成。
发展期
园区网络:实现全部设备的IPv6升级;
云平台:完成全部升级改造任务;
应用系统:需要部分实现IPv6升级改造;
演进后期
应用系统:本阶段需要全部完成IPv6升级改造;
全IPv6期
剩余应用系统:比如办公类、管理类等传统应用系统全部完成IPv6升级改造。
对于这类企业,我们建议在过渡方案开展前做好充分调研和计划制定,以最小代价完成IPv6平滑过渡和改造。
Q3:电子政务外网如何进行IPv6升级改造?
✓ 保障网络质量:IPv6过渡应实现平滑过渡,保障现有IPv4业务不受影响,IPv6业务质量不低于IPv4业务质量;
✓ 控制改造成本:IPv6过渡应保护现有投资,尽量降低升级成本和网络改造量;
✓ 选择通用技术:IPv6过渡技术应选择符合相关国内外标准的通用技术,避免采用私有标准或非开放协议。
根据业界通用的升级改造经验和原则,建议采取网络和安全先行、业务随后接入的策略。
网络和安全先行
广域网/城域网是提供IPv6端到端连接的基础,需要先行改造以支持IPv6。
电子政务外网在向IPv6演进过程中,会同时承载IPv4和IPv6两种流量,考虑到系统稳定性和业务过渡的连续性,网络升级主要以IPv4/IPv6双栈为主,辅以翻译和隧道技术,实现网络的平稳升级。
广域网/城域网:由于其网络规模有限,且现网中的路由器一般都支持IPv4/IPv6协议双栈,能够同时转发IPv4和IPv6两种流量,只需替换升级个别无法升级到IPv6的路由器即可。
政务云网络:由于政务云数据中心网络承载了众多委办局业务系统,不同委办局的IPv6升级节奏也各不相同,为兼容各业务系统平滑演进,建议把网络升级成IPv4/IPv6双栈,可同时承载IPv4/IPv6两种流量,各委办局可根据自身演进节奏灵活选择接入方式。
另外,在IPv6升级改造过程中,为避免威胁从IPv6网络渗透到电子政务外网,网络安全设备及其它安全系统应先行支持IPv6协议,建议先对现网部署范围广且必不可少的安全设备,如防火墙、入侵检测系统应优先升级改造,对不支持IPv6的老旧设备应尽替换,确保等级保护标准不受影响。
业务接入随后
大部分委办局业务系统是基于行业通用的架构进行的开发建设,涉及到应用前端、中间件、数据库等多个组件,这些在架构上有着很强的共性,在IPv6的演进过程中将会面临着同样的问题,升级方案有着很强的一致性。因此,建议尽快挑选升级需求迫切委办局业务系统进行改造,摸索经验,最后再实现整体委办局业务的IPv6升级改造