电子政务外网IPv6建设背景
1、IPv6对数字化建设的驱动
增强互联网服务能力
IPv4面临地址严重匮乏、服务质量难以保障等制约互联网持续发展的问题,成为构建数字化基础设施的短板,IPv6能够提供充足的地址空间,是下一代互联网的基础协议,能够提供更强大的互联网服务能力。
促进数字应用创新
IPv6能够提供更广泛的互联网和物联网连接,实现万物互联,打造数字化基础设施,促进物联网、工业互联网、人工智能等新应用、新领域的创新。
提升网络安全能力
IPv6为解决网络安全问题提供了新平台和新思路(真实源地址认证技术、根域名服务器等),不断完善的网络安全保障体系,将为数字化应用提供更安全可信的网络空间环境。
2、国家大力推动IPv6规模部署
中央网络安全和信息化委员会办公室 国家发展和改革委员会 工业和信息化部联合发文《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》,提出了路线图和部署目标。
电子政务外网IPv6解决方案
1、IPv6改造内容
网络基础设施
1、IPv6地址规划
2、IPv6多出口部署
3、网络、安全设备改造支持IPv6或双栈:
● 评估设备能力
● 配置IPv6地址
● 部署IPv6路由
● 部署IPv6安全策略
应用基础设施
1、IPv6资源申请
● 公网地址
● 接入链路
2、启用IPv6的DNS服务
● 向域名服务商申请v6服务
● 升级自建的DNS服务器支持AAAA记录
互联网应用
1、运行环境:操作系统、 IIS/Apache/Tomcat、中间件、数据库
2、依赖服务:FTP,SMTP,SSL安全证书等
3、网站代码:检查代码IP地址相关处理(.NET,JAVA等)
2、IPv6快速改造方案
WEB网站IPv6快速改造方案
电子政务外网新增IPv6接入区域,部署新华三SPACE6翻译网关,将互联网IPv6与WEB服务器的交互内容进行应用层翻译,保证IPv6用户可以正常访问原WEB服务器。
WEB网站IPv6快速改造步骤
改造方案包括如下几个步骤:
1、申请IPv6 Internet公网线路和IPv6公网地址
2、在公网DNSv6服务器注册IPv6域名
3、新建IPv6接入区域,部署LB/FW/IPS等安全设备
4、部署新华三SPACE6翻译网关
3、服务DNS解析改造
通过DNS解析之后,IPv6域名服务器向IPv6用户回复域名对应的IPv6 GUA地址。电子政务外网DNS解析服务改造建议可通过以下2个方式:
方式一:租赁域名服务商域名解析服务,通过域名服务商响应外网IPv6用户DNS请求,回复域名对应的IPv6 GUA地址;
方式二:自建权威DNS服务器对外提供域名解析服务,或将原有DNS权威服务器进行双栈改造,添加AAAA记录。
方案价值
1、电子政务外网IPv6改造全栈积累
长期自主技术积累
20+年自主研发、1000W+行平台代码、9800+功能模块、超百项IPv6专利,设备原生支持IPv4/IPv6双栈,10+年IPv6部署实践。
端到端全栈方案
引入云计算、SDN/NFV等新技术,提供端到端的IPv6全栈解决方案,包括云、网络、IT设施、大数据、应用基础服务、及安全等。
全生命周期交付
为IPv6建设提供从咨询规划、方案设计、到实施交付、售后服务的全生命周期服务,帮助用户实现从IPv4到IPv6的升级改造和平滑迁移。
2、电子政务外网IPv6+技术
“IPv6+”包含分段路由技术、网络切片技术、网络可视化等相关新型网络技术。
SDN
1、统一管理,提升网络运维效率及资源利用率
2、智能随行,提升网络主动运维能力
SRv6
1、简化协议,降低运维难度
2、灵活编排,业务随需而动
3、高可靠性,故障快速恢复
4、兼容性强,网络平滑演进
网络分片
1、硬切片实现硬件隔离
2、软切片实现智能调度
3、软硬切片能力结合,提升网络分层能力
网络可视化
1、质量可视,规划支撑
2、随需而动,智能运维
3、精准定位、快速排障
3、电子政务外网IPv6+的应用——SDN
1、通过SDN控制器对电子政务外网全域网络设备统一纳管,实现网络自动化部署,提升运维效率;
2、对业务进行统一编排,使网络资源可以基于全局视角统筹分配,提高利用率;为运维人员提供多维可视能力,使网络运行状态一览无余,提升网络智能运维的能力;
3、通过SDN控制器对业务质量信息(网络流量、状态、关联事件及告警信息等)进行周期性采样、深度分析,实现网络质量可视和故障快速定位的能力。
4、翻译网关部署快速优点多
部署快,投入少
●无需改动原有IPv4网站服务器内容,改造投入少,周期快
多协议支持
●支持HTTP/HTTPS协议翻译,满足网站安全性要求
高可靠性架构
●支持双主控,分布式转发架构,提供高可靠性服务能力
解决天窗问题
●支持原网站代码中IPv4相关参数自动转换,解决外链“天窗” 问题,IPv6终端用户可以无感访问原有业务
安全性
●提供访问记录审计功能,方便后续溯源
●支持网站黑名单过滤功能
高性能
●千万级并发连接处理能力
●万兆业务处理能力
●支持HTTP本地缓存,提高访问效率
最佳实践
乐山市电子政务外网
乐山市七区县电子政务外网问题:
●IPv6过渡升级挑战:原有设备老旧且不支持IPv6。
●终端安全管理的挑战:安全管理到终端,要求基于复杂网络环境下的终端安全管理,实现电子政务网络的安全可靠。
●网络运行可靠的挑战:全市网络环境错综复杂,对技术人员水平要求高,而且全市网络运行不容出错,必须实现稳定可靠方案。
新华三电子政务外网IPv6方案价值
●全网支持IPV4/IPv6双栈,支持最新实用特性。实现用户PC机、移动智能终端的统一接入。
●为安全接入的身份认证和权限控制提供支撑, 提供用户集中认证、 用户管理、访问权限统一控制等功能;提供安全接入平台的运行情况监测、平台设备的配置管理和用户行为审计等功能;为安全接入平台提供访问控制、入侵检测与防御、防病毒等基础安全防护功能。
●实现智能终端准入控制以及桌面安全评估, 防止终端同时接入电子政务外网和互联网,避免一机多用。