2019-11-18 10:49:47
来源:深信服科技
鉴于金融行业应用系统复杂度高,IPv6改造涉及到的内容和设施非常多,如基础设施改造、DNS服务器改造、业务系统改造等,同时IPv6改造必须满足“IPv6不低于IPv4线路现有的安全防护能力”的政策要求。
深信服金融事业部方案规划总监徐省委在以《共筑网络安全,金融行业IPv6建设最佳实践》为主题的分享中表示,IPv6改造升级整体方案应秉承复杂度低、安全性高和业务影响小的改造原则,遵循“网络先行”、“多场景兼容”、“平滑演进”、“可用性、安全性高”四大原则。
1.网络先行
由于网络设备相对来说都是通用的,不需要再去改应用的代码,改造工作相对简单,技术比较成熟,所以建议金融机构优先对网络进行改造。
2.多场景兼容
目前来说,客户端网络存在三种形式:IPv4-only、IPv6-only以及IPv4/IPv6共用的用户。由于改造周期较长,期间需要三种业务网络共存,其兼容性问题需要重点关注。例如三大运营商在2019年5月已在手机端实现IPv4/IPv6部署,一旦改造移动端应用,流量将优先使用IPv6线路。
3.平滑演进
改造时要保障“从IPv4到IPv4/IPv6再到IPv6”的演进过程,保障用户数据不丢失,业务不中断地进行平滑过渡。
4.可用性、安全性高
需确认每个演进阶段,从网络到应用,再到系统三个层面的安全性。IPv6网络环境高可用、高安全,不出现全局性、大范围业务异常和安全访问漏洞。
徐省委表示,2019年,金融服务机构对门户网站进行改造时,是通过直接改造现有IPv4网络,对已有出口进行改造,属于设备利旧,优势是成本可控,缺点是维护风险加倍。例如:增加设备/系统的暴露面、策略管理复杂度加倍、防护被穿透的机会加倍;双栈系统的复杂性也会增加网络节点的数据转发负担,导致网络节点的故障率增加。
2020年金融生产业务系统进入IPv6规模阶段,建议更换方案,保持使用IPv4网络,新建IPv6网络平面,这种方案属于设备新建方案,缺点是成本较高,优势是维护风险可控,故障类可控,可实现业务平滑上线和迁移,同时可以避免运行双栈的业务系统影响其他只运行IPv4的业务系统。
加快推进IPv6规模部署工作,是金融业今年乃至今后一段时期的重点工作,深信服下一代防火墙AF、下一代入侵防御系统IPS、Web应用防火墙WAF、应用交付AD(负载均衡)、SSL安全网关(SSL卸载)等产品均已支持IPv6协议。目前,深信服已经在金融、政府、央企等行业帮助多家用户完成各类网站和互联网系统等向IPv6的平滑过渡与快速改造。
十九年创新,十九年沉淀,深信服现已服务了超过80%的银行/证券/保险等金融用户,并且为中国银行、中国工商银行、中国建设银行、中国农业银行、交通银行、邮储银行、中信证券、海通证券、国泰君安、广发证券、中国人寿、中国人保、平安保险、太平保险等金融用户提供了可信赖的安全保障。未来,深信服将继续提供与时代前沿相契合的行业整体解决方案,推动金融业数字化转型升级,为中国金融机构提供坚实的支撑和犀利的洞见,助力构建金融科技新生态,把脉趋势,为实现智慧金融、科技金融献力献策。