首頁 > IT業界 > 正文

金融業IPv6改造之路“第二步”該如何走?

2020-04-26 13:51:44  來源:互聯網

摘要:2020年,按照人民銀行、銀保監會、證監會于2019年發布的《關于金融行業貫徹落實的實施意見》給出的“三步走”改造戰略,金融行業已步入IPv6改造的“第二步”規模推廣階段。
關鍵詞: 金融業
      2020年,按照人民銀行、銀保監會、證監會于2019年發布的《關于金融行業貫徹落實<推進互聯網協議第六版(IPv6)規模部署行動計劃>的實施意見》給出的“三步走”改造戰略,金融行業已步入IPv6改造的“第二步”規模推廣階段。2020年底,金融業機構面向公眾服務的互聯網應用系統需支持IPv6連接訪問,并具備與IPv6改造前同等的業務連續性保障能力,換言之,改造的主體由單純的門戶網站延展至整個面向公眾服務的互聯網應用系統。

改造新階段,合規新要求

除改造主體的變化外,新階段的IPv6改造還將迎來更高標準、更嚴要求的監管,具體合規要點如下:

1、域名解析升級

很多域名服務商雖可配置AAAA記錄,但權威域名服務器不具備IPv6地址,不滿足2020年“第二步”IPv6改造要求。針對此點,可用本地DNS服務器(如應用交付控制器)進行域名AAAA記錄解析,并為DNS服務器分配IPv6地址,即可滿足改造要求。

2、高頁面支持率

“第二步”改造要求金融機構,去除外部鏈接后的二級鏈接,IPv6支持率需大于等于85%,網站三級鏈接IPv6支持率需大于等于80%。金融機構應用系統一般由多個業務模塊組成,其中部分業務模塊暫不支持IPv6訪問,針對該情況,可以直接在服務器端進行IPv6改造,也可以使用應用交付控制器進行NAT64轉換代理訪問,滿足支持率要求。

3、高可用

2019年許多金融業機構僅部署了1條IPv6線路,存在單點故障隱患。2020年人民銀行明確要求金融業機構必須具備多條支持IPv6訪問的線路,且對應線路上的主要網絡設備需有備機。

4、低時延

“第二步”改造要求金融業機構連續15天,每隔1小時發起1次門戶網站/APP/Web應用連接時延統計,連接時延差閾值需小于75ms。IPv6網絡質量各地區存在差異,用戶可用NPM等監控軟件監測自身網絡質量,應用交付智能DNS、壓縮緩存等技術可以有效降低網絡時延,提升用戶訪問體驗。

IPv6 “第二步”的改造利器——新建網絡平面

2019年“第一步”初期階段僅要求門戶網站支持IPv6連接訪問,很多用戶選擇在前端部署NAT轉換設備來實現網站的IPv6改造并滿足監管要求,但今年進入“第二步”后,這種方式顯然已經行不通。本階段改造,建議以新建IPv6網絡平面方式為主,原因有三點:第一,面向公眾服務的應用重要且訪問量大,通過新增平面可以有效避免同一設備因同時承載IPv4流量和IPv6流量而造成的性能瓶頸問題;第二,將IPv4和IPv6分流可實現故障隔離,出現問題時便于及時排查;第三,通過新建平面的方式能夠進行后期IPv4向IPv6的平滑過渡,保障后續的改造和流量遷移?;谛陆ㄆ矫?主流的改造方式一般以如下三種為主:

1、新建IPv6平面,改造至互聯網接入區

方案說明:

運營商分別提供IPv4、IPv6接入,保持原有IPv4內網網絡和應用不變。

新增IPv6轉換設備,后端復用IPv4現有的網絡設備和應用系統。

新增平面增加網絡安全設備、DNS設備和IPv6轉換設備。

2、新建IPv6平面,改造至互聯網DMZ

方案說明:

運營商分別提供IPv4、IPv6接入,保持原有IPv4內網網絡和應用不變。

新增IPv6轉換設備,后端復用IPv4現有APP層及以下的應用系統,Web層系統進行IPv6升級。

在IPv4平面新增NAT46設備,IPv6平面新增NAT64設備,實現跨平面的會話保持。

新增平面增加網絡安全設備、DNS設備和IPv6轉換設備。

3、新建IPv6平面,改造至應用內網區

方案說明:

運營商分別提供IPv4、IPv6接入,保持兩個不同的流量平面接入。

新增IPv6負載設備,分別對Web層和APP層IPv6應用進行服務器負載。

在IPv4平面新增NAT46設備,IPv6平面新增NAT64設備,實現跨平面的會話保持。

新增平面增加網絡安全設備、DNS設備和IPv6轉換設備。

IPv6改造“新戰場”——云上應用

深信服根據金融科技發展需要,結合多年行業實踐經驗積累,推出云上業務場景IPv6改造方案。

私有云應用:

深信服應用交付AD通過Route Domain和Partition技術虛擬出多個LB,與OpenStack云平臺對接后,每一個LB都能和一個OpenStack LB對應。這些LB共享整個AD的整機資源和性能,虛擬出來的每一個LB都可以給云平臺租戶的業務系統進行NAT64轉換從而完成IPv6改造。

公有云應用:

深信服AD可以在KVM和VMware等虛擬化環境下使用,通過vAD鏡像模式部署、虛擬化版本vAD以及NAT64技術來實現IPv6改造。

PaaS應用:

深信服AD作為獨立K8S集群外的節點(AD設備自身可配置高可用集群),經同步后的AD可對K8S集群在Pod級別的南北向流量進行負載均衡,通過NAT64來完成IPv6改造。

深信服解決方案助力金融業IPv6改造合規前行、平滑演進

作為IPv6改造的先行推動者,深信服再次推出基于新建IPv6平面的改造方案,且在安全溯源、可視化等層面具備差異化優勢,助力用戶滿足新階段的合規要求。

實時溯源,滿足安全監管要求

金融行業需“有效防范IPv6安全風險”,主要針對的就是溯源問題。當使用NAT64/DNS64轉換設備時,地址在轉換設備內層僅顯示為一個IPv4地址,一旦發生安全問題,將無法追溯攻擊者。深信服AD設備能夠提供溯源問題解決方案,通過在HTTP層插入X-Forwarded-For字段或在TCP層插入TCP Option字段來滿足溯源需求。

IPv6可視化,讓IPv6改造看得見

深信服基于政策要求,針對性推出IPv6可視化應用,通過可視化界面,快速、直觀、準確地獲知Web/APP應用連接時延、應用連接穩定性、應用兼容性是否滿足督查考核指標要求。同時支持可視化報表的導出,方便用戶對業務的IPv6改造情況進行匯報、展示。

金融行業用戶在IPv6改造之路上,可能還會遇到各種各樣的“坑”,應該如何應對?據了解,深信服在服務金融行業用戶的真實業務場景中,總結出了一系列在IPv6改造中需要特別注意的問題:如在網絡層面上,IPv6/IPv4跨平面會話保持、灰度發布、IPv6 DNS相關、IPv6地址增長帶來的記憶難度等;如在應用層面,嵌在配置文件中的IP和嵌入協議的IP、使用底層網絡的API、使用小地址簇存儲容器等,并將這些需要規避的“坑”總結至《深信服金融行業IPv6建設白皮書》中,助力金融行業用戶的IPv6改造更順暢、更合規,加速用戶的數字化轉型進程。


第三十屆CIO班招生
法國布雷斯特商學院碩士班招生
北達軟EXIN網絡空間與IT安全基礎認證培訓
北達軟EXIN DevOps Professional認證培訓
責編:chenjian
有谁不上班靠炒股赚钱 四川金7乐 炒股软件哪个好用正规 福建11选5开奖结 吉林快3专家免费预测 单只股票融资买入比例 河北排列七开奖结果 体彩排列7开奖结果查询 内蒙古11选五开奖遗漏 广东十一选五遗漏规律 江苏11选五推荐预测号码