2020年,按照人民银行、银保监会、证监会于2019年发布的《关于金融行业贯彻落实<推进互联网协议第六版(IPv6)规模部署行动计划>的实施意见》给出的“三步走”改造战略,金融行业已步入IPv6改造的“第二步”规模推广阶段。2020年底,金融业机构面向公众服务的互联网应用系统需支持IPv6连接访问,并具备与IPv6改造前同等的业务连续性保障能力,换言之,改造的主体由单纯的门户网站延展至整个面向公众服务的互联网应用系统。
改造新阶段,合规新要求
除改造主体的变化外,新阶段的IPv6改造还将迎来更高标准、更严要求的监管,具体合规要点如下:
1、域名解析升级
很多域名服务商虽可配置AAAA记录,但权威域名服务器不具备IPv6地址,不满足2020年“第二步”IPv6改造要求。针对此点,可用本地DNS服务器(如应用交付控制器)进行域名AAAA记录解析,并为DNS服务器分配IPv6地址,即可满足改造要求。
2、高页面支持率
“第二步”改造要求金融机构,去除外部链接后的二级链接,IPv6支持率需大于等于85%,网站三级链接IPv6支持率需大于等于80%。金融机构应用系统一般由多个业务模块组成,其中部分业务模块暂不支持IPv6访问,针对该情况,可以直接在服务器端进行IPv6改造,也可以使用应用交付控制器进行NAT64转换代理访问,满足支持率要求。
3、高可用
2019年许多金融业机构仅部署了1条IPv6线路,存在单点故障隐患。2020年人民银行明确要求金融业机构必须具备多条支持IPv6访问的线路,且对应线路上的主要网络设备需有备机。
4、低时延
“第二步”改造要求金融业机构连续15天,每隔1小时发起1次门户网站/APP/Web应用连接时延统计,连接时延差阈值需小于75ms。IPv6网络质量各地区存在差异,用户可用NPM等监控软件监测自身网络质量,应用交付智能DNS、压缩缓存等技术可以有效降低网络时延,提升用户访问体验。
IPv6 “第二步”的改造利器——新建网络平面
2019年“第一步”初期阶段仅要求门户网站支持IPv6连接访问,很多用户选择在前端部署NAT转换设备来实现网站的IPv6改造并满足监管要求,但今年进入“第二步”后,这种方式显然已经行不通。本阶段改造,建议以新建IPv6网络平面方式为主,原因有三点:第一,面向公众服务的应用重要且访问量大,通过新增平面可以有效避免同一设备因同时承载IPv4流量和IPv6流量而造成的性能瓶颈问题;第二,将IPv4和IPv6分流可实现故障隔离,出现问题时便于及时排查;第三,通过新建平面的方式能够进行后期IPv4向IPv6的平滑过渡,保障后续的改造和流量迁移。基于新建平面,主流的改造方式一般以如下三种为主:
1、新建IPv6平面,改造至互联网接入区
方案说明:
运营商分别提供IPv4、IPv6接入,保持原有IPv4内网网络和应用不变。
新增IPv6转换设备,后端复用IPv4现有的网络设备和应用系统。
新增平面增加网络安全设备、DNS设备和IPv6转换设备。
2、新建IPv6平面,改造至互联网DMZ区
方案说明:
运营商分别提供IPv4、IPv6接入,保持原有IPv4内网网络和应用不变。
新增IPv6转换设备,后端复用IPv4现有APP层及以下的应用系统,Web层系统进行IPv6升级。
在IPv4平面新增NAT46设备,IPv6平面新增NAT64设备,实现跨平面的会话保持。
新增平面增加网络安全设备、DNS设备和IPv6转换设备。
3、新建IPv6平面,改造至应用内网区
方案说明:
运营商分别提供IPv4、IPv6接入,保持两个不同的流量平面接入。
新增IPv6负载设备,分别对Web层和APP层IPv6应用进行服务器负载。
在IPv4平面新增NAT46设备,IPv6平面新增NAT64设备,实现跨平面的会话保持。
新增平面增加网络安全设备、DNS设备和IPv6转换设备。
IPv6改造“新战场”——云上应用
深信服根据金融科技发展需要,结合多年行业实践经验积累,推出云上业务场景IPv6改造方案。
私有云应用:
深信服应用交付AD通过Route Domain和Partition技术虚拟出多个LB,与OpenStack云平台对接后,每一个LB都能和一个OpenStack LB对应。这些LB共享整个AD的整机资源和性能,虚拟出来的每一个LB都可以给云平台租户的业务系统进行NAT64转换从而完成IPv6改造。
公有云应用:
深信服AD可以在KVM和VMware等虚拟化环境下使用,通过vAD镜像模式部署、虚拟化版本vAD以及NAT64技术来实现IPv6改造。
PaaS应用:
深信服AD作为独立K8S集群外的节点(AD设备自身可配置高可用集群),经同步后的AD可对K8S集群在Pod级别的南北向流量进行负载均衡,通过NAT64来完成IPv6改造。
深信服解决方案助力金融业IPv6改造合规前行、平滑演进
作为IPv6改造的先行推动者,深信服再次推出基于新建IPv6平面的改造方案,且在安全溯源、可视化等层面具备差异化优势,助力用户满足新阶段的合规要求。
实时溯源,满足安全监管要求
金融行业需“有效防范IPv6安全风险”,主要针对的就是溯源问题。当使用NAT64/DNS64转换设备时,地址在转换设备内层仅显示为一个IPv4地址,一旦发生安全问题,将无法追溯攻击者。深信服AD设备能够提供溯源问题解决方案,通过在HTTP层插入X-Forwarded-For字段或在TCP层插入TCP Option字段来满足溯源需求。
IPv6可视化,让IPv6改造看得见
深信服基于政策要求,针对性推出IPv6可视化应用,通过可视化界面,快速、直观、准确地获知Web/APP应用连接时延、应用连接稳定性、应用兼容性是否满足督查考核指标要求。同时支持可视化报表的导出,方便用户对业务的IPv6改造情况进行汇报、展示。
金融行业用户在IPv6改造之路上,可能还会遇到各种各样的“坑”,应该如何应对?据了解,深信服在服务金融行业用户的真实业务场景中,总结出了一系列在IPv6改造中需要特别注意的问题:如在网络层面上,IPv6/IPv4跨平面会话保持、灰度发布、IPv6 DNS相关、IPv6地址增长带来的记忆难度等;如在应用层面,嵌在配置文件中的IP和嵌入协议的IP、使用底层网络的API、使用小地址簇存储容器等,并将这些需要规避的“坑”总结至《深信服金融行业IPv6建设白皮书》中,助力金融行业用户的IPv6改造更顺畅、更合规,加速用户的数字化转型进程。