Hillstone高校IPv6解决方案

  概述

  随着IPv4地址的枯竭,物联网、云计算、移动互联网、“三网融合”新业务的驱动,IPv6得到越来越广泛的关注和应用。在“十二五”规划的指引下,中国IPv6下一代互联网产业正朝目标大步迈进。 高校方面,由教育部组织,CERNET网络中心负责协调,25个CNGI-CERNET2核心节点学校带动100所高校共同承担CNGI高校驻地网建设项目,于2008年9月通过项目验收。在国内34个城市率先建成了100个完成升级改造并实现IPv6普遍覆盖的校园网,IPv6用户规模超过200万。实现了教育科研门户网站、重点学科信息资源、大学数字博物馆、高等学校网上招生等一批教育科研重大应用的IPv6技术升级,开发了一批基于IPv6的视频直播点播、高清视频会议、无线宽带通信等教育科研示范应用,在100个校园网上实现了累计1300多个应用系统的技术升级,为网站系统IPv6升级改造及IPv6应用服务进行了有益尝试。

  Hillstone高校IPv6解决方案,利用高性能、高可靠的Hillstone数据中心防火墙,部署在高校互联网出口、IDC出口处,通过IPv6过渡技术、NDP安全防护、攻击防护等功能,实现高校多链路接入的IPv4、IPv6流量的转发和安全防护,以及IPv4和IPv6网络的共存和互访,帮助高校进行IPv6校园网的建设。

  1、安全需求

  目前,各高校的校园网主要以IPv4网络为主,在建设高校IPv6校园网时首先必须考虑到如何将IPv6引入到当前的IPv4网络,IPv4和IPv6将在较长时期内共存,所以实现IPv4向IPv6的平稳过渡是引入IPv6的前提。高校在我国的当前的IPv6建设和研究方面起着举足轻重的作用,我们要充分考虑到学校在整个CERNET2建设中的位置,无论是作为核心节点、驻地网节点,还是接入节点,要切实根据本校的网络现状,选择适合本校的IPv6建设模式,融合IPv6与IPv4网络的互联互通,避免“信息孤岛”的生成,特别是在选择过渡机制的时候,要充分对双栈模式、隧道技术、NAT转换、DNS64/NAT64等几种过渡方式的各自优缺点,结合本校的网络结构,寻求最适合的IPv6网络引入机制。目前,高校IPv6建设需求包括:

  ● 多链路下IPv4和IPv6的流量转发和安全防护: 高校采用多链路接入,在同时接入IPv4网络和IPv6网络时,需要高性能防火墙同时支持IPv4和IPv6协议栈,流量能够正常转发并互不影响。同时,对于IPv4和IPv6网络中异常攻击能进行实时有效的安全防护。

  ● 校园网IPv4和IPv6网络的共存: 目前高校校园网还是以IPv4为主,会逐渐增加相应的IPv6教育科研门户网站、重点学科信息资源、大学数字博物馆、高等学校网上招生等一批教育科研重大应用以及基于IPv6的视频直播点播、高清视频会议、无线宽带通信等教育科研示范应用,会出现相应的IPv6网络,那么IPv4和IPv6将在较长时期内共存,也是实现IPv4向IPv6的平稳过渡是引入IPv6的前提。

  ● 校园网IPv4和IPv6终端、服务器的互访: 随着高校中IPv4和IPv6相关业务不断增加,尤其目前还是IPv4业务为主,就需要IPv6终端能对IPv4业务进行访问,做到IPv4和IPv6之间的互访。

  ● 校园网IPv6日志记录: 随着高校中IPv6相关业务不断增加,需要对学生IPv6终端访问服务器相关日志进行记录,对校园网中会话日志和NAT日志进行记录,方便管理员进行日志查询。

  2、解决方案

  在IPv6校园网建设中,Hillstone数据中心防火墙部署在校园网多链路的出口处和校园网内部的IPv6服务器边界处,同时支持IPv4和IPv6流量的转发和攻击防护,支持IPv4和IPv6网络的共存和互访,支持IPv6 HA和相关日志记录。

Hillstone高校IPv6解决方案
Hillstone高校IPv6解决方案

  在IPv6校园网建设中,Hillstone数据中心防火墙主要通过以下技术来满足高校的建设需求:

  ● IPv6的过渡技术:Hillstone数据中心防火墙支持多种过渡技术,满足不同场景的过渡需求。

  双栈技术:双栈节点可以同时与IPv4和IPv6互通,互通性好,实现简单,允许应用逐渐从IPv4过渡到IPv6;

  隧道技术:通过6to4的手工隧道和自动隧道,来满足IPv6孤岛的相互通信,充分利用现有组网,校园网内部设备无需升级,符合从边缘过渡的策略。

  NAT-PT:通过NAT进行IPv4地址和IPv6地址的相互转换,来满足IPv6和IPv4协议网络节点之间的通信,校园网内部设备无需升级。

  DNS64和NAT64:通过和DNS服务器配合进行地址转换,解决IPv6终端可以主动访问IPv4网络中业务服务器,不需要在IPv6客户端或IPv4服务器端做任何修改,校园网内部设备无需升级。

  ● NDP安全防护:针对NDP协议发起的一系列攻击,Hillstone数据中心防火墙提供了IP-MAC绑定、NDP学习、NDP检查、NDP欺骗防护、NDP防御功能,校园网用户可以针对不同的网络情况应用不同的防护功能。

  ● IPv6攻击防护:Hillstone数据中心防火墙能提供全面的IPv6攻击防护,进行会话限制,可以基于域进行攻击防护,对Flood攻击和异常报文攻击等常见攻击进行有效的阻断,保护业务服务的可用性。同时,Hillstone数据中心防火墙的高性能也为分析和阻挡各类攻击提供了强大的支持。

  ● IPv6 HA:Hillstone数据中心防火墙支持IPv6 HA,主、备两台设备可以同步配置、文件及RDO(Runtime Dynamic Object)等信息,可以实现毫秒级的切换,主备设备切换时可有效保证IPv6业务系统的畅通。

  ● IPv6日志记录:Hillstone数据中心防火墙支持会话日志和NAT日志,对学生终端访问IPv6业务进行记录,可以方便管理进行日志查询和溯源。

  3、方案效果

  通过在IPv6校园网互联网出口及内网服务器边界处部署Hillstone数据中心防火墙,有效支持了校园网多链路下的IPv4和IPv6流量的共存和互通,IPv6服务器的隔离与安全防护,Hillstone数据中心防火墙具有的高性能、高可扩、高可靠,在IPv6校园网中将发挥如下的建设效果:

  ● 高性能应对校园网海量业务访问: Hillstone的数据中心防火墙最高可支持100Gbps 吞吐量、180 万新建连接速率(HTTP)、6000 万并发连接数的处理能力,能够从容应对高校校园网中海量业务访问对性能的挑战。

  ● 高可靠保障校园业务连续: Hillstone数据中心防火墙能够支持设备级别的HA解决方案,为网络层提供会话级别的状态同步机制,保证设备在切换过程中数据传输的连续性及网络的持久畅通,甚至在设备进行主备切换的时候都不会中断校园业务的运营,保证了网络的高可靠性。

  ● 丰富的IPv6过渡技术满足各种过渡场景: Hillstone数据中心防火墙提供了双栈、隧道、NAT-PT、DNS64NAT64过渡技术,可以满足校园网IPv6和IPv4共存和互访的各种过渡场景的需求,不改变校园网现有网络结构,保护用户现有的网络设备投资。

  ● 强大的安全防护特性保障IPv6业务安全: Hillstone数据中心防火墙提供了强大的NDP安全防护和IPv6攻击防护,对NDP攻击、Flood攻击及异常报文攻击等常见攻击进行有效的攻击检测和防护,有效防范针对IPv6的恶意攻击,避免了IPv6服务器的瘫痪,保障了校园网IPv6业务的安全运行。

  ● IPv6日志满足审计查询需求: Hillstone数据中心防火墙针对可以进行IPv6的会话日志和NAT日志,会话日志可以记录Session Start、Session End、Deny Session、Default Session日志,记录相关五元组及Session、时间相关信息。NAT日志可以记录相关Snat和Dnat日志。通过日志信息可以帮助管理员准确查询和溯源相关内网用户访问信息。

  ● 高可扩不断适应校园网规模增长: 通过增加安全服务模块,Hillstone数据中心防火墙的性能可以从20Gbps逐步提升到100Gbps,最大并发连接数也从1200万逐步扩展到6000万,在不需要新增设备的前提下,不断适应校园网的规模增长,并有效保护前期投资。

上一篇:立体防御,构建河南正骨医院安全新网络

下一篇:Hillstone集成安全技术建设新一代信息安全实验室