2020-05-08 14:09:12
来源:深信服科技
改造新阶段,合规新要求
除改造主体的变化外,新阶段的IPv6改造还将迎来更高标准、更严要求的监管,具体合规要点如下:
1. 域名解析升级
很多域名服务商虽可配置AAAA记录,但权威域名服务器不具备IPv6地址,不满足2020年“第二步”IPv6改造要求。针对此点,可用本地DNS服务器(如应用交付控制器)进行域名AAAA记录解析,并为DNS服务器分配IPv6地址,即可满足改造要求。
2. 高页面支持率
“第二步”改造要求金融机构,去除外部链接后的二级链接,IPv6支持率需大于等于85%,网站三级链接IPv6支持率需大于等于80%。金融机构应用系统一般由多个业务模块组成,其中部分业务模块暂不支持IPv6访问,针对该情况,可以直接在服务器端进行IPv6改造,也可以使用应用交付控制器进行NAT64转换代理访问,满足支持率要求。
3. 高可用
2019年许多金融业机构仅部署了1条IPv6线路,存在单点故障隐患。2020年人民银行明确要求金融业机构必须具备多条支持IPv6访问的线路,且对应线路上的主要网络设备需有备机。
4. 低时延
“第二步”改造要求金融业机构连续15天,每隔1小时发起1次门户网站/APP/Web应用连接时延统计,连接时延差阈值需小于75ms。IPv6网络质量各地区存在差异,用户可用NPM等监控软件监测自身网络质量,应用交付智能DNS、压缩缓存等技术可以有效降低网络时延,提升用户访问体验。
IPv6 “第二步”的改造利器——新建网络平面
2019年“第一步”初期阶段仅要求门户网站支持IPv6连接访问,很多用户选择在前端部署NAT转换设备来实现网站的IPv6改造并满足监管要求,但今年进入“第二步”后,这种方式显然已经行不通。本阶段改造,建议以新建IPv6网络平面方式为主,原因有三点:
第一,面向公众服务的应用重要且访问量大,通过新增平面可以有效避免同一设备因同时承载IPv4流量和IPv6流量而造成的性能瓶颈问题;第二,将IPv4和IPv6分流可实现故障隔离,出现问题时便于及时排查;第三,通过新建平面的方式能够进行后期IPv4向IPv6的平滑过渡,保障后续的改造和流量迁移。基于新建平面,主流的改造方式一般以如下三种为主:
1. 新建IPv6平面,改造至互联网接入区
方案说明
运营商分别提供IPv4、IPv6接入,保持原有IPv4内网网络和应用不变。
新增IPv6转换设备,后端复用IPv4现有的网络设备和应用系统。
新增平面增加网络安全设备、DNS设备和IPv6转换设备。
2. 新建IPv6平面,改造至互联网DMZ区
方案说明
运营商分别提供IPv4、IPv6接入,保持原有IPv4内网网络和应用不变。
新增IPv6转换设备,后端复用IPv4现有APP层及以下的应用系统,Web层系统进行IPv6升级。
在IPv4平面新增NAT46设备,IPv6平面新增NAT64设备,实现跨平面的会话保持。
新增平面增加网络安全设备、DNS设备和IPv6转换设备。
3. 建IPv6平面,改造至应用内网区
方案说明
运营商分别提供IPv4、IPv6接入,保持两个不同的流量平面接入。
新增IPv6负载设备,分别对Web层和APP层IPv6应用进行服务器负载。
在IPv4平面新增NAT46设备,IPv6平面新增NAT64设备,实现跨平面的会话保持。
新增平面增加网络安全设备、DNS设备和IPv6转换设备。
IPv6改造“新战场”—云上应用
深信服根据金融科技发展需要,结合多年行业实践经验积累,推出云上业务场景IPv6改造方案。
私有云应用:
深信服应用交付AD通过Route Domain和Partition技术虚拟出多个LB,与OpenStack云平台对接后,每一个LB都能和一个OpenStack LB对应。这些LB共享整个AD的整机资源和性能,虚拟出来的每一个LB都可以给云平台租户的业务系统进行NAT64转换从而完成IPv6改造。
公有云应用:
深信服AD可以在KVM和VMware等虚拟化环境下使用,通过vAD镜像模式部署、虚拟化版本vAD以及NAT64技术来实现IPv6改造。
PaaS应用:
深信服AD作为独立K8S集群外的节点(AD设备自身可配置高可用集群),经同步后的AD可对K8S集群在Pod级别的南北向流量进行负载均衡,通过NAT64来完成IPv6改造。
深信服解决方案助力金融业
IPv6改造合规前行、平滑演进
作为IPv6改造的先行推动者,深信服再次推出基于新建IPv6平面的改造方案,且在安全溯源、可视化等层面具备差异化优势,助力用户满足新阶段的合规要求。
1. 实时溯源,满足安全监管要求
金融行业需“有效防范IPv6安全风险”,主要针对的就是溯源问题。当使用NAT64/DNS64转换设备时,地址在转换设备内层仅显示为一个IPv4地址,一旦发生安全问题,将无法追溯攻击者。深信服AD设备能够提供溯源问题解决方案,通过在HTTP层插入X-Forwarded-For字段或在TCP层插入TCP Option字段来满足溯源需求。
2. IPv6可视化,让IPv6改造看得见
深信服基于政策要求,针对性推出IPv6可视化应用,通过可视化界面,快速、直观、准确地获知Web/APP应用连接时延、应用连接稳定性、应用兼容性是否满足督查考核指标要求。同时支持可视化报表的导出,方便用户对业务的IPv6改造情况进行汇报、展示。
除了对监管政策的精准把脉以及对阶段方案的创新迭代外,深信服在服务金融行业用户的真实业务场景中,总结出了一系列在IPv6改造中需要特别注意的问题:如在网络层面上,IPv6/IPv4跨平面会话保持、灰度发布、IPv6 DNS相关、IPv6地址增长带来的记忆难度等;如在应用层面,嵌在配置文件中的IP和嵌入协议的IP、使用底层网络的API、使用小地址簇存储容器等,并将这些需要规避的“坑”总结至《深信服金融行业IPv6建设白皮书》中,助力金融行业用户的IPv6改造更顺畅、更合规。
扫码下载《深信服金融行业IPv6建设白皮书》
一直以来,深信服始终坚持持续创新,致力于为行业用户带来更好的应用和安全体验。目前,深信服已经帮助东莞农村商业银行、太仓农村商业银行、长沙银行、厦门银行、深圳证券交易所、财富证券、中天国富证券等众多金融用户完成各类网站和互联网系统等向IPv6的平滑过渡与快速改造,助力加速推进IPv6规模部署。未来,深信服将继续助力金融行业把握有利机遇期,通过技术创新和服务升级实现IPv6改造新飞跃,加速用户的数字化转型进程。