网站IPv6改造，仅仅支持应用层转换就够了吗？ – 作者:Hillstone

目前网站IPv6改造方案/产品层出不穷，大部分用户已经认识到，如果想让网站快速的支持IPv6而不做大规模后台代码改动，必须通过反向代理，SPACE6、IVI等IPv6应用层转换技术才可以解决。

但是，网站的IPv6改造，仅仅满足应用层转换的基本功能需求就足够了吗？

山石网科应用交付AX认为，网站IPv6改造需求共分为三大块：功能需求，安全需求，扩展需求。

可以细分为9个具体需求如下：

功能需求

▶ 应用层转换

网站IPv6改造最核心的功能，应用层转换不仅仅是网站主页支持IPv6。要想整个网站支持IPv6，重要的是外链中IPv4图片、脚本等请求、应答双方向的内容改写。

强大的内容改写

Host/Location/Refer等HTTP关键字段任意修改。

▶ HTTPS流量处理

用户网站是IPv4 HTTP/HTTPS，可能需要改造成IPv6 HTTPS。

安全需求

新部署的IPv6网站还没有像传统IPv4网站一样，在前面部署了大量的IPS、WAF、防篡改等安全防护设备。因此除了IPv6网站改造，新增的IPv6网站的安全性也需要重点关注。

山石网科应用交付AX认为，可以从攻击前-攻击中-攻击后3个维度进行保护。

攻击前

IPv6流量可视化

强大的、防火墙级别的策略控制

攻击中

IPv6网站抗攻击

山石网科应用交付AX同时具备强大的抗DDOS能力。

为了更全面有效的保护网站安全，山石网科建议最好同时部署防火墙、WAF、IPS、防篡改等设备。

攻击后

山石网科应用交付AX拥有详细的IPv6应用层日志，用于攻击后溯源取证。

日志存储性能高达4千万条/天

支持外发专业日志管理平台

最少存储半年内日志

一键断网

一旦网站被黑客攻击、篡改等，恢复时间至少十数个小时，这中间很容易被不法分子利用，并大规模传播，造成的损失往往无法估量。

管理员可能需要在3分钟内关闭IPv4/IPv6网站访问，避免发生更大的损失。同时不影响正常的邮件/OA等业务系统，简称为“一键断网”。

注：山石网科应用交付AX同时支持软件一键断网和硬件Bypass断网。

扩展需求

不同用户的IPv6改造阶段，组网不同，为了满足不同的需求：

（1）需要支持动态路由RIP/OSPF/BGP/ISIS及策略路由的IPv4/IPv6双栈版本； 

（2）同一接口、虚拟服务器同时配置IPv4/IPv6双栈地址，便于接入双栈网络简化部署。

在网站IPv6改造方案上，山石网科应用交付除了支持网站IPv6改造的功能需求外，还满足日志溯源、流量可视、策略控制、抗DDOS、一键断网、动态路由、双栈支持等安全需求和扩展需求。网站升级，有AX就购了！

来源：freebuf.com 2018-12-10 16:19:40 by: Hillstone