摘 要:【目的】近年來,隨著監(jiān)管力度的增大,監(jiān)管機(jī)構(gòu)相繼提出等級保護(hù)、IPv6、信息技術(shù)應(yīng)用創(chuàng)新等監(jiān)管要求。為了滿足企業(yè)自身互聯(lián)網(wǎng)業(yè)務(wù)信息化建設(shè)的需求,應(yīng)對潛藏在互聯(lián)網(wǎng)用戶中的各種威脅,且符合相關(guān)建設(shè)的規(guī)范,提出了基于IPv6的成品油銷售企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)IT基礎(chǔ)架構(gòu)設(shè)計(jì)。【方法】首先,對企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)IT基礎(chǔ)架構(gòu)建設(shè)的各項(xiàng)需求進(jìn)行分析;其次,對安全設(shè)備的配置進(jìn)行研究;最后,采用智能DNS設(shè)備配置雙棧解析地址來解決用戶雙棧訪問的問題,采用功能獨(dú)立且互補(bǔ)的安全設(shè)備組合部署來解決安全防護(hù)問題。【結(jié)果】該設(shè)計(jì)支持IPv4到IPv6過渡期的雙棧訪問,滿足了互聯(lián)網(wǎng)業(yè)務(wù)安全防護(hù)的需求?!窘Y(jié)論】該設(shè)計(jì)可為IT從業(yè)人員的相關(guān)工作提供一定的參考依據(jù)。
關(guān)鍵詞:互聯(lián)網(wǎng)業(yè)務(wù);等級保護(hù);IPv6;IT基礎(chǔ)架構(gòu);安全防護(hù)
中圖分類號:TN929.5 文獻(xiàn)標(biāo)志碼:A 文章編號:1003-5168(2024)18-0034-04
DOI:10.19968/j.cnki.hnkj.1003-5168.2024.18.007
IT Infrastructure Design of the Internet Business IT Infrastructure of the Refined Oil Sales Enterprise Based on IPv6
SUN Peng
(PetroChina Shandong Marketing Company,Jinan 250000,China)
Abstract: [Purposes] Recent years, with the increasing regulatory efforts of regulatory agencies, regulatory requirements such as classified protection, IPv6, and Information technology application innovation have been successively proposed. In order to meet the needs of the enterprTweyTj//SYgfibiG7h/a7BRfbBEdVRYH42p7KPhwpGE=ise 's own internet business information construction, deal with the various threats hidden in the internet users, and meet the relevant construction specifications, the design of the Internet business IT infrastructure of the refined oil sales enterprise based on IPv6 is proposed. [Methods] First, this paper analyzes the requirements of enterprise internet business IT infrastructure construction; second, this paper studies the configuration of security equipment; finally, the intelligent DNS device is used to configure the dual-stack parsing address to solve the problem of user dual-stack access, and the functional independent and complementary security device combination deployment is used to solve the security protection problem.[Findings] This design method supports double stack access during the transition period from IPv4 to IPv6, and meets the requirements of Internet business security protection. [Conclusions] This design method can provide a reference basis for the relevant work of IT professionals.
Keywords:internet business;classified protection;IPv6; IT infrastructure;safety protection
0 引言
2019年5月正式發(fā)布的國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239—2019)[1],被稱為網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn),是國家開展網(wǎng)絡(luò)安全等級保護(hù)工作的指導(dǎo)性文件。該標(biāo)準(zhǔn)在原有標(biāo)準(zhǔn)的基礎(chǔ)上,增加了對新型網(wǎng)絡(luò)攻擊行為的防護(hù)和個(gè)人信息保護(hù)等新要求,實(shí)現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對象的全覆蓋。
2023年4月,工業(yè)和信息化部、中央網(wǎng)信辦、國家發(fā)展改革委等中央八部門聯(lián)合印發(fā)《工業(yè)和信息化部等八部門關(guān)于推進(jìn)IPv6技術(shù)演進(jìn)和應(yīng)用創(chuàng)新發(fā)展的實(shí)施意見》[2]。實(shí)施意見提出,堅(jiān)持以習(xí)近平新時(shí)代中國特色社會(huì)主義思想為指導(dǎo),認(rèn)真貫徹落實(shí)黨的二十大和二十屆一中、二中全會(huì)精神,完整、準(zhǔn)確、全面貫徹新發(fā)展理念,以加強(qiáng)新型信息基礎(chǔ)設(shè)施建設(shè)、推進(jìn)下一代互聯(lián)網(wǎng)升級演進(jìn)為主線,以促進(jìn)IPv6技術(shù)演進(jìn)和應(yīng)用創(chuàng)新發(fā)展、增強(qiáng)IPv6規(guī)模部署和應(yīng)用內(nèi)生動(dòng)力為目標(biāo),打造技術(shù)、網(wǎng)絡(luò)、設(shè)備、應(yīng)用、安全協(xié)同互促的產(chǎn)業(yè)生態(tài),構(gòu)筑下一代互聯(lián)網(wǎng)創(chuàng)新發(fā)展新優(yōu)勢,積極助力制造強(qiáng)國、質(zhì)量強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國和數(shù)字中國建設(shè),有力支撐經(jīng)濟(jì)社會(huì)高質(zhì)量發(fā)展。
隨著5G手機(jī)的普及,移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)越來越受到成品油銷售企業(yè)(以下簡稱企業(yè))的重視。作為業(yè)務(wù)支撐的重要底座,IT基礎(chǔ)架構(gòu)的建設(shè)除要滿足自身業(yè)務(wù)需求外,更要滿足各項(xiàng)標(biāo)準(zhǔn)及行業(yè)監(jiān)管機(jī)構(gòu)的要求。同時(shí),移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)直接面向互聯(lián)網(wǎng)用戶,傳統(tǒng)的簡單業(yè)務(wù)基礎(chǔ)架構(gòu)難以應(yīng)對來自互聯(lián)網(wǎng)惡意用戶的各種攻擊威脅,安全防護(hù)手段亟待加強(qiáng)。
1 業(yè)務(wù)需求分析
企業(yè)移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)通常包括官方信息發(fā)布、移動(dòng)支付、促銷活動(dòng)、賬戶管理等,各業(yè)務(wù)系統(tǒng)分別對應(yīng)不同的公網(wǎng)地址。目前,大量企業(yè)的IT基礎(chǔ)架構(gòu)仍停留在IPv4單棧模式,面對當(dāng)前推進(jìn)IPv6規(guī)模部署的政策要求,對業(yè)務(wù)系統(tǒng)進(jìn)行IPv6改造是現(xiàn)階段企業(yè)IT管理部門的首要任務(wù)。改造工作不僅包括網(wǎng)絡(luò)地址的配置變更,而且包括與之相關(guān)的業(yè)務(wù)系統(tǒng)和安全防護(hù)系統(tǒng)的變更。
同時(shí)支持IPv6和IPv4雙棧的用戶移動(dòng)終端會(huì)優(yōu)先使用IPv6地址訪問互聯(lián)網(wǎng)業(yè)務(wù)。企業(yè)自建的移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)區(qū)通常接入多家運(yùn)營商線路,從而保證線路冗余。因此,需要為用戶訪問多個(gè)域名做IPv6地址解析,同時(shí)提供IPv4地址解析服務(wù)IPv4單棧用戶。為了用戶獲得良好的訪問體驗(yàn),還需要智能DNS系統(tǒng)為用戶更加快速地解析運(yùn)營商地址。
企業(yè)的移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)遭受網(wǎng)絡(luò)攻擊,會(huì)嚴(yán)重威脅到企業(yè)的利益[3]。企業(yè)IT管理人員面對層出不窮的拒絕服務(wù)攻擊(DDoS)、后門攻擊、漏洞攻擊、勒索病毒、網(wǎng)絡(luò)釣魚等互聯(lián)網(wǎng)威脅時(shí),常束手無策。
企業(yè)自建業(yè)務(wù)系統(tǒng)的安全防護(hù)工作需要遵循等級保護(hù)標(biāo)準(zhǔn)以及行業(yè)監(jiān)管要求,建設(shè)滿足等級保護(hù)要求的業(yè)務(wù)系統(tǒng),需要提供等保要求的各種安全防護(hù)能力,如抗DDoS、入侵防御(IPS)、Web應(yīng)用防護(hù)等。落實(shí)到基礎(chǔ)架構(gòu)層面,即需要部署相應(yīng)的安全設(shè)備來提供對應(yīng)的安全防護(hù)功能,確保IT管理人員在遇到互聯(lián)網(wǎng)攻擊事件時(shí)能夠作出有效應(yīng)對。
2 IT基礎(chǔ)總體架構(gòu)
本研究提出一種滿足IPv6和IPv4雙棧訪問要求,并能夠有效防范各種互聯(lián)網(wǎng)攻擊的移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng),其基礎(chǔ)架構(gòu)如圖1所示。
2.1 基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)
接入交換機(jī)設(shè)計(jì)為二層網(wǎng)絡(luò),為每條運(yùn)營商線路配置一個(gè)VLAN,與下游設(shè)備通過trunk鏈路二層互聯(lián)。
匯聚交換機(jī)設(shè)計(jì)為三層網(wǎng)絡(luò),配置服務(wù)器網(wǎng)關(guān)地址。配置默認(rèn)路由指向出口的鏈路負(fù)載均衡設(shè)備,配置明細(xì)路由指向應(yīng)用負(fù)載均衡設(shè)備和內(nèi)部其他網(wǎng)絡(luò)區(qū)域,
2.2 IPv4和IPv6雙棧設(shè)計(jì)
為應(yīng)對當(dāng)前互聯(lián)網(wǎng)地址雙棧過渡期,基礎(chǔ)架構(gòu)所需設(shè)備均配置為IPv4和IPv6雙棧模式。企業(yè)購買的運(yùn)營商線路能夠同時(shí)提供IPv4和IPv6雙棧地址,多家運(yùn)營商線路匯入一組堆疊部署的接入交換機(jī)。智能DNS設(shè)備為互聯(lián)網(wǎng)用戶提供地址解析服務(wù),用戶通過域名訪問到DNS服務(wù)器時(shí),將能夠同時(shí)獲取到IPv4和IPv6雙棧地址,且返回給用戶的地址會(huì)根據(jù)用戶IP地址的歸屬,選擇訪問體驗(yàn)最好的運(yùn)營商線路。根據(jù)IPv6推進(jìn)相關(guān)政策要求,業(yè)務(wù)前置服務(wù)器改造為IPv6地址將成為主流趨勢。服務(wù)器上游部署應(yīng)采用負(fù)載均衡設(shè)備,提高業(yè)務(wù)帶寬和并發(fā)性能。應(yīng)用負(fù)載均衡設(shè)備上配置IPv4—IPv6地址轉(zhuǎn)換,保證IPv4用戶也能正常訪問到服務(wù)器。
2.3 安全防護(hù)設(shè)計(jì)
多家運(yùn)營商線路經(jīng)過DDoS設(shè)備進(jìn)行流量清洗,DDoS設(shè)備無雙機(jī)機(jī)制,通常采用單臺(tái)部署,開啟接口對Bypass功能,防止設(shè)備掉電時(shí)影響業(yè)務(wù)。為進(jìn)一步提高系統(tǒng)架構(gòu)的健壯性,減少單點(diǎn)故障對業(yè)務(wù)的影響,需要配置一條逃生線路來連接上下游的交換機(jī)。正常情況下關(guān)閉交換機(jī)互聯(lián)接口,DDoS9f30fbdd56102293e05e7221746e0dc5c4f13625aa0d7608201826a6a105cd72設(shè)備故障時(shí)手動(dòng)開啟交換機(jī)接口,恢復(fù)業(yè)務(wù)。為用戶提供地址解析服務(wù)的DNS設(shè)備部署在Db28263ea87b349f4140afeb58a7503dc86c3ca9579e98fa6daa3405a4cca5609DoS設(shè)備的下游,受到DDoS設(shè)備的保護(hù)。
互聯(lián)網(wǎng)業(yè)務(wù)公網(wǎng)地址配置在鏈路負(fù)載均衡設(shè)備上,鏈路負(fù)載均衡設(shè)備雙機(jī)主備部署??紤]到當(dāng)前互聯(lián)網(wǎng)業(yè)務(wù)大多基于HTTPS,后端安全設(shè)備無法對SSL加密流量進(jìn)行分析和防護(hù),因此需要在鏈路負(fù)載均衡設(shè)備上進(jìn)行SSL卸載,將訪問流量轉(zhuǎn)化為明文。鏈路負(fù)載均衡設(shè)備具備大吞吐量和支持高并發(fā)量的性能,由該設(shè)備提供SSL卸載功能可減輕后端安全設(shè)備處理加密流量的性能開銷。
鏈路負(fù)載均衡設(shè)備下游部署一組七層防火墻,七層防火墻具備入侵檢測與防御、網(wǎng)絡(luò)訪問控制、病毒防護(hù)等功能。對通過鏈路負(fù)載均衡的流量明文進(jìn)行分析檢測,及時(shí)將威脅隔離在外,滿足等級保護(hù)的對應(yīng)要求。
針對重要互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng),還需要在七層防火墻下游部署一組Web應(yīng)用防火墻(WAF),防御來自互聯(lián)網(wǎng)的各種Web攻擊,如SQL注入、跨站腳本攻擊(XSS)、遠(yuǎn)程文件包含、命令注入等,防止敏感數(shù)據(jù)泄露和網(wǎng)站被篡改。
防火墻和WAF設(shè)備采用透明模式部署,可降低故障時(shí)對業(yè)務(wù)的影響,并簡化日常運(yùn)維工作。
2.4 設(shè)計(jì)驗(yàn)證
經(jīng)過測試驗(yàn)證,采用本研究提出的IT基礎(chǔ)架構(gòu)部署互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng),能夠切實(shí)有效地解決企業(yè)IT管理部門面臨的諸多問題。
互聯(lián)網(wǎng)用戶訪問業(yè)務(wù)系統(tǒng),能夠獲取到DNS設(shè)備提供的IPv6和IPv4雙棧地址,滿足各種終端訪問業(yè)務(wù)系統(tǒng)的需求。DNS提供給用戶的訪問地址是基于用戶網(wǎng)絡(luò)的最佳運(yùn)營商線路,用戶能夠獲得最佳的訪問體驗(yàn)。
本研究充分考慮了基礎(chǔ)架構(gòu)冗余性,不存在單點(diǎn)故障,任何一臺(tái)設(shè)備的故障都不會(huì)對業(yè)務(wù)造成影響,保證了企業(yè)業(yè)務(wù)的連續(xù)性。
當(dāng)面對互聯(lián)網(wǎng)攻擊時(shí),DDoS設(shè)備、防火墻、WAF能夠共同承擔(dān)起安全防護(hù)責(zé)任,并通過日志記錄下每一起攻擊事件的來源,最大程度降低互聯(lián)網(wǎng)攻擊帶來的威脅。
3 結(jié)語
我國計(jì)算機(jī)網(wǎng)絡(luò)正在向IPv6單棧模式演進(jìn)[4],對于當(dāng)前仍停留在IPv4的企業(yè)來說,業(yè)務(wù)地址改造刻不容緩,而互聯(lián)網(wǎng)業(yè)務(wù)的IPv6改造更是重中之重。同時(shí),互聯(lián)網(wǎng)的發(fā)展也催生了惡意用戶對于企業(yè)的攻擊威脅,諸如勒索病毒等安全事件時(shí)有發(fā)生,企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)的安全防護(hù)也必須得到足夠的重視。
本研究提出的一種移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)IT基礎(chǔ)架構(gòu)建設(shè)方案,能夠支持IPv6和IPv4雙棧業(yè)務(wù)訪問,充分滿足國家政策和監(jiān)管機(jī)構(gòu)對于安全防護(hù)和IPv6等要求,并能夠有效地保護(hù)業(yè)務(wù)系統(tǒng)安全,降低互聯(lián)網(wǎng)攻擊對業(yè)務(wù)造成的影響,對于企業(yè)IT管理人員具有重要的參考價(jià)值。
未來,成品油銷售企業(yè)將向數(shù)字化轉(zhuǎn)型[5-6],IT基礎(chǔ)設(shè)施建設(shè)必將配合業(yè)務(wù)的轉(zhuǎn)型而做出新的轉(zhuǎn)變。分布式[7]、混合云[8]架構(gòu)具有更好地支持業(yè)務(wù)敏捷上線、資源動(dòng)態(tài)調(diào)配等特點(diǎn),將成為IT從業(yè)人員研究的重點(diǎn)。
參考文獻(xiàn):
[1] 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求 :GB/T 22239—2019 [S].北京:中國標(biāo)準(zhǔn)出版社, 2019.
[2] 工業(yè)和信息化部,中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室,國家發(fā)展和改革委員會(huì),等.關(guān)于推進(jìn)IPv6技術(shù)演進(jìn)和應(yīng)用創(chuàng)新發(fā)展的實(shí)施意見[EB/OL].(2023-04-23)[2024-03-27]. https://wap.miit.gov.cn/zwgk/zcwj/wjfb/yj/art/2023/art_383f66374ab0464abd48a5d799180af3.html.
[3] 國家互聯(lián)網(wǎng)信息辦公室.國家互聯(lián)網(wǎng)信息辦公室關(guān)于《網(wǎng)絡(luò)安全事件報(bào)告管理辦法(征求意見稿)》公開征求意見的通知[EB/OL]. (2023-12-08) [2024-03-27]. http://www.whwx.gov.cn/wxdt/202312/t20231208_2315510.shtml.
73b443f29ed71c4c5850669cc824ae4a[4] 張鑫,董剛. 企業(yè)IPv6過渡綜述[J]. 數(shù)碼設(shè)計(jì)(下),2020,9(2):34-35.
[5] 翁曉東. 混合云架構(gòu)對企業(yè)IT基礎(chǔ)環(huán)境的影響與優(yōu)勢[J]. 工程技術(shù)研究,2023,5(19):44-46.
[6] 姚牧,董俊杰,黃農(nóng)壹,等. 基于分布式企業(yè)IT基礎(chǔ)架構(gòu)構(gòu)建模式的探討[J]. 計(jì)算機(jī)產(chǎn)品與流通,2023(7):73-75,78.
[7] 高興勤. 成品油銷售行業(yè)數(shù)字化轉(zhuǎn)型研究[J]. 中國石油和化工標(biāo)準(zhǔn)與質(zhì)量,2022,42(17):127-129.
[8] 沈輝. 關(guān)于成品油銷售企業(yè)數(shù)字化轉(zhuǎn)型的探索與研究[J]. 當(dāng)代石油石化,2021,29(8):31-34.