未分类IPv6规模摆设下的收集平安防护 IPv6平安过渡怎样做?

IPv6从底子上处理了IPv4地点干涸的问题,而在IPv6收集的搭建中,必要留意如下两个场景,包管营业和使用继续安稳运转:

在将收集设施的IP地点升级为IPv6地点的同时,对各类IP和谈也进行升级,在连结IPv6主机的一般通讯的同时处理本来IPv4收集在效率战争安性上的固出缺陷。

在IPv6收集成长的历程中,供给IPv6过渡手艺,将IPv6收集和IPv4收集无缝地毗连起来,使IPv6主性能够逾越现有的成熟的IPv4收集进行通讯,或者使IPv6主机和IPv4主机进行互相通讯。

针对《促进互联网和谈第六版(IPv6)规模摆设步履打算》,华为平安给出了IPv6规模摆设下收集平安防护的细致解读,衔接上期IPv6平安手艺,本期聚焦IPv6平安过渡方案,深切解读IPv6过渡手艺、3种典范过渡革新升级方案以及针对电子政务外网的IPv6升级革新方案。

目前,业界次要的过渡手艺有IPv4/IPv6双栈、IPv6地道和地点转换。

IPv4向IPv6的过渡不成能欲速不达,在很长一段时间内两者会共存。现实上,每个企业都有各自分歧的营业特点和需求,&必要找到适合本人的过渡方案。下面给出3种典范的过渡革新方案,未分类仅供参考。

一些企业的营业可继续利用IPv4私有地点和NAT手艺,短期内对IPv6无刚性需求。但有部门互联网企业必要对外供给IPv6办事和接入威力,最火急的就是通过企业鸿沟的防火墙等设施实现NAT64等地点转换,以最低本钱实现IPv6的办事诉求。

这类企业仅必要革新企业鸿沟的防火墙、路由器/互换机、日记审计等需要设施即可,通过鸿沟防火墙实现IPv6到IPv4的NAT64报文转换,使得进入企业内部的流量全数转换成IPv4流量,因而企业内部的入侵检测、WAF、收集设施、办事器和终端等设施都不必要革新。对付个体双栈终端必要拜候外部的IPv6资本时,能够通过ISATAP地道手艺实现双栈终端穿梭IPv4收集,实现IPv6资本的拜候需求。(RFC5214,且Windows曾经支撑)

一些企业的营业次要依赖于互联网用户,如互联网、*游戏、金融等企业,这些企业的外部互联网区对外办事有着强烈的IPv6营业革新需求,可是对付内部收集和营业,短期内无刚性的IPv6革新需求,现有的IPv4私有地点和NAT手艺完万能够胜任。

这类企业仅必要革新企业鸿沟的互联网办事区的所有设施,包罗鸿沟平安设施、收集设施和营业体系,正常提议升级互联网区营业体系为双栈,对外供给双栈办事,同时还要升级互联网办事有关的收集战争安设施,而Web办事器与内部通讯时仍连结IPv4毗连,短期内企业内部收集不必要革新。

一些企业必要餍足国度政策性要求或者本身成长需求,必要大量IP地点,对IPv6收集革新有火急需求,必要片面升级到IPv4/IPv6双栈收集和办事,咱们提议应当即启动升级前的预备事情,做好近况查询拜访、规划、升级打算,预留充沛时间完成滑润演进。在向IPv6过渡历程中,次要从两个层面展开,一是对根本收集的逐渐革新;二是对使用营业进行IPv4向IPv6的迁徙。总体来看,”次要分如下五个阶段展开:

保障收集品质:IPv6过渡应实现滑润过渡,保障现有IPv4营业不受影响,未分类IPv6营业品质不低于IPv4营业品质;

节制改形成本:IPv6过渡应庇护现有投资,尽量低落升级本钱和收集革新量;

取舍通用手艺:IPv6过渡手艺应取舍合适有关国表里尺度的通用手艺,避免采用私有尺度或非开放和谈。

按照业界通用的升级革新经验和准绳,提议采纳收集战争安先行、营业随后接入的计谋。

广域网/城域网是供给IPv6端到端毗连的根本,必要先行革新以支撑IPv6。

电子政务外网在向IPv6演进历程中,会同时承载IPv4和IPv6两种流量,未分类思量到体系不变性和营业过渡的持续性,未分类收集升级次要以IPv4/IPv6双栈为主,辅以翻译和地道手艺,实现收集的安稳升级。

广域网/城域网:因为其收集规模无限,未分类且现网中的路由器正常都支撑IPv4/IPv6和谈双栈,可以或许同时转发IPv4和IPv6两种流量,只要替代升级个体无奈升级到IPv6的路由器即可。

政务云收集:因为政务云数据核心收集承载了浩繁委办局营业体系,分歧委办局的IPv6升级节拍也各不不异,为兼容各营业体系滑润演进,提议把收集升级成IPv4/IPv6双栈,可同时承载IPv4/IPv6两种流量,各委办局可按照本身演进节拍矫捷取舍接入体例。

别的,在IPv6升级革新历程中,为避免要挟从IPv6收集渗入到电子政务外网,&*收集平安设施及其它平安体系应先行支撑IPv6和谈,提议先对现网摆设范畴广且必不成少的平安设施,如防火墙、入侵检测体系应优先升级革新,对不支撑IPv6的老旧设施应尽替代,确保品级庇护尺度不受影响。

大部门委办局营业体系是基于行业通用的架构进行的开辟扶植,涉及到使用前端、两头件、数据库等多个组件,这些在架构上有着很强的共性,在IPv6的演进历程中将会晤对着同样的问题,升级方案有着很强的分歧性。因而,”提议尽快挑选升级需求火急委办局营业体系进行革新,试探经验,最初再实现全体委办局营业的IPv6升级革新。

发表评论

电子邮件地址不会被公开。 必填项已用*标注