文 / 本刊记者 韩维蜜

加快推进IPv6规模部署工作,是金融业今年乃至今后一段时期的重点工作。目前来看,很多机构起步良好,进展顺利,在网络设施的IPv6改造取得阶段性成果。但是,从IPv4到IPv6的升级改造工作量大,时间紧,非常有挑战性。各机构都在积极探索过渡阶段的实施方案,以保障行动计划顺利实施,从而实现互联网应用的快连,平滑升级。实现互联网应用的快速、平滑升级。

三大过渡技术支撑

由于地址设计原因,IPv4无法访问到IPv6网络,IPv6网络无法平滑实现过渡。为了向IPv6网络逐步演进,出现了三种过渡技术分别是双栈、翻译和隧道。

双栈技术是为网络、业务系统同时部署IPv4和IPv6,分别对IPv4用户和IPv6用户提供服务。

翻译技术是通过特定的地址映射方式,将IPv4地址和IPv6地址互相翻译,有状态的翻译技术有NAT-PT和NAT64,无状态的翻译技术有IVI。翻译技术在一定条件下,可以实现IPv4到IPv6的通信。

隧道技术主要是用于两块独立的IPv6网络穿越IPv4网络进行互联,或两块独立的IPv4网络穿越IPv6网络进行互联。

金融服务机构IPv6改造后需要能够同时对IPv4-only、IPv6-only以及IPv4/IPv6共用的用户提供访问。

IPv6改造升级遵循四大原则

深信服参与了多家金融机构实际改造工作,深信服金融行业技术专家徐省委表示,IPv6改造升级整体方案应遵循“网络先行”“多场景兼容”“平滑演进”“可用性、安全性”四大原则。

网络先行:由于网络设备相对来说都是通用的,不需要再去改应用的代码,改造工作相对简单,技术比较成熟,所以建议金融机构优先对网络进行改造。

多场景兼容:目前来说,客户端网络存在三种形式:IPv4-only、IPv6-only以及IPv4/IPv6共用的用户。由于改造周期较长,期间需要三种业务网络共存,其兼容性问题需要特别关注。例如三大运营商在2019年5月已在手机端实现IPv4/IPv6,一旦改造移动端应用,流量将优先使用IPv6线路。

平滑演进:改造时要保障“从IPv4到IPv4/IPv6、再到IPv6”的演进过程数据不丢失,业务不中断的平滑过渡。

可用性、安全性:需确认每个演进阶段,从网络到应用,再到系统三个层面的安全性。IPv6网络环境高可用、高安全,不出现全局性、大范围业务异常和安全访问漏洞。

从IPv4到IPv6,推动互联网演进升级

金融机构的IT系统一般分为三个区域:互联网的接入区、WEB区、APP和DB区。根据系统结构特点,目前金融服务机构主流改造方案包括两种:第一种是直接改造现有IPv4网络;第二种是保持不变IPv4网络,新建IPv6网络平面。

针对直接改造现有IPv4网络方案,深信服提出两种改造建议:

第一种,双栈改造至互联网接入区,在互联网接入区链路负载上做IPv6到IPv4协议的转换。

该方案改造实现简单,但存在缺陷:第一,端到端的安全性无法保证,在攻击溯源、流量审计等方面存在较大隐患,难以定位和具体封堵攻击源;第二,原有运行逻辑,业务流程,防护层次被打破,运行监控体系无法发挥效果;第三,翻译设备容易成为安全瓶颈,一旦被攻击可能导致网络瘫痪。

第二种,双栈改造至WEB区服务器负载,在WEB接入区服务器负载上做IPv6到IPv4协议的转换。

该方案改造难度适中,现有运行逻辑,业务流程,防护层次未发生改变,运行监控体系基本有效,能基本实现端到端的安全性法,可以进行攻击溯源、流量审计,能够定位和具体封堵攻击源。缺点是需要评估IPv4网络中网络和安全设备对IPv6的支持情况和性能压力。

这两种方案是对已有出口进行改造,属于设备利旧,优势是成本可控,缺点是维护风险加倍。例如:增加设备/系统的暴露面、策略管理复杂度加倍、防护被穿透的机会加倍;故障率增加,双栈系统的复杂性也会增加网络节点的数据转发负担,导致网络节点的故障率增加。

为规避上述两种方案的风险,目前金融服务机构普遍采用现有IPv4网络保持不变新建IPv6网络平面方案,深信服提出两种改造建议:

第一种,新建互联网接入区IPv6网络平面,在互联网接入区链路负载上做IPv6到IPv4协议的转换,由于无法实现端到端的网络安全性,建议逐渐过渡到第二种方案。

第二种,新建互联网接入区+WEB接入区IPv6网络平面,在WEB接入区服务器负载上做IPv6到IPv4协议的转换,该方案可实现端到端的网络安全性,符合IPv6最终网络架构。

这两种方案是新建IPv6网络平面,属于设备新建,缺点是成本较高,优势是维护风险可控,故障类可控,可实现业务平滑上线和迁移,同时可以避免运行双栈的业务系统影响其他只运行IPv4的业务系统。

考虑到要符合一行两会343号文以及《金融行业IPv6规模部署督察考核指标体系》要求,保证运维管理等因素,深信服认为新建IPv6平面方案是最佳建设方案,即现有IPv4网络保持不变新建IPv6网络平面方案。该方案实现IPv4对IPv4、IPv6对IPv6的单协议栈通信,不仅成功解决了IPv6和IPv4的兼容问题,还实现了IPv6的网络升级,推动实现互联网向IPv6演进升级的最终目标。

图 IPv6最佳建设方案

轻松解决“天窗”和“溯源”问题

目前金融服务机构转换节点有两种,一种是在链路负载上做转换,另一种是服务器负载上做转换。但是在链路负载上做转换存在翻译机制的风险。翻译设备作为IPv6与IPv4互连节点,易成为安全瓶颈,一旦被攻击可能导致网络瘫痪。天窗的问题和溯源的问题是翻译机制带来的两个主要问题。

“天窗”指的是一个页面通常会包含其它网站的链接或本站子域名下的内容链接如果不支持IPv6,无法响应纯IPv6的请求,就会出现“天窗”问题。监管机构在改造的意见中提到的“第三方插件、页面链接的全部子域名网站均完成IPv6改造”,主要针对的就是“天窗”问题。深信服应交交付AD设备和NAT64/DNS64转换设备,提供天窗问题解决方案。通过特殊的改写策略保证客户端的请求会再次到AD设备,由AD设备发起请求,再将得到的结果返回给客户端。

同时,改造意见中“有效防范IPv6安全风险”,主要针对的就是溯源问题。当使用NAT64/DNS64转换设备时,地址在转换设备内层仅显示为一个IPv4地址,发现安全问题时,无法追溯攻击者。深信服应交交付AD设备和NAT64/DNS64转换设备,提供溯源问题解决方案。通过插入X-Forwarded-For字段来展示IPv6的源IP,配合后端安全设备和应用设备,也通过输出syslog日志,实现溯源。如使用交换机、路由器和防火墙进行NAT64/DNS64转换,无法支持溯源。

一直以来,深信服坚持“持续创新”,致力于为用户带来更好的应用和安全体验。随着IPv6的逐步普及,深信服安全、基础设施大部分产品已全面支持IPv6协议,云计算产品也已重点投入开发,为客户后续IPv6业务部署提供保障。

IPv6大规模部署是互联网演进升级的大势所趋,也是助力互联网与实体经济深度融合、支撑经济高质量发展的迫切需求。金融机构结合自身情况选择合适的技术和方案,以便获得先发优势,更好融入全球互联网。

本文节选自《金融电子化》2019年06月刊

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。