目前網站IPv6改造方案/產品層出不窮,大部分用戶已經認識到,如果想讓網站快速的支持IPv6而不做大規模後臺代碼改動,必須通過反向代理,SPACE6、IVI等IPv6應用層轉換技術才可以解決。
但是,網站的IPv6改造,僅僅滿足應用層轉換的基本功能需求就足夠了嗎?
山石網科應用交付AX認為,網站IPv6改造需求共分為三大塊:功能需求,安全需求,擴展需求。
可以細分為9個具體需求如下:
功能需求
▶ 應用層轉換
網站IPv6改造最核心的功能,應用層轉換不僅僅是網站主頁支持IPv6。要想整個網站支持IPv6,重要的是外鏈中IPv4圖片、腳本等請求、應答雙方向的內容改寫。
強大的內容改寫
Host/Location/Refer等HTTP關鍵字段任意修改。
▶ HTTPS流量處理
用戶網站是IPv4 HTTP/HTTPS,可能需要改造成IPv6 HTTPS。
安全需求
新部署的IPv6網站還沒有像傳統IPv4網站一樣,在前面部署了大量的IPS、WAF、防篡改等安全防護設備。因此除了IPv6網站改造,新增的IPv6網站的安全性也需要重點關注。
山石網科應用交付AX認為,可以從攻擊前-攻擊中-攻擊後3個維度進行保護。
- 攻擊前
IPv6流量可視化
強大的、防火牆級別的策略控制
- 攻擊中
IPv6網站抗攻擊
山石網科應用交付AX同時具備強大的抗DDOS能力。
為了更全面有效的保護網站安全,山石網科建議最好同時部署防火牆、WAF、IPS、防篡改等設備。
- 攻擊後
山石網科應用交付AX擁有詳細的IPv6應用層日誌,用於攻擊後溯源取證。
日誌存儲性能高達4千萬條/天
支持外發專業日誌管理平臺
最少存儲半年內日誌
一鍵斷網
一旦網站被黑客攻擊、篡改等,恢復時間至少十數個小時,這中間很容易被不法分子利用,並大規模傳播,造成的損失往往無法估量。
管理員可能需要在3分鐘內關閉IPv4/IPv6網站訪問,避免發生更大的損失。同時不影響正常的郵件/OA等業務系統,簡稱為“一鍵斷網”。
注:山石網科應用交付AX同時支持軟件一鍵斷網和硬件Bypass斷網。
擴展需求
不同用戶的IPv6改造階段,組網不同,為了滿足不同的需求:
(1)需要支持動態路由RIP/OSPF/BGP/ISIS及策略路由的IPv4/IPv6雙棧版本;
(2)同一接口、虛擬服務器同時配置IPv4/IPv6雙棧地址,便於接入雙棧網絡簡化部署。
在網站IPv6改造方案上,山石網科應用交付除了支持網站IPv6改造的功能需求外,還滿足日誌溯源、流量可視、策略控制、抗DDOS、一鍵斷網、動態路由、雙棧支持等安全需求和擴展需求。
閱讀更多 安全牛 的文章
