阿里雲IPv6 DDoS防禦被工信部認定為“網路安全技術應用試點示範專案

近日，阿里雲資料中心骨幹網IPv6 DDoS網路安全防禦被工業和資訊化部認定為“網路安全技術應用試點示範專案”，本次評選由工業和資訊部網路安全管理局發起，從實用性、創新性、先進性、可推廣性等維度展開，阿里雲成為唯一一家入選IPv6 DDoS防護類專案的雲服務商。

響應國家號召，率先佈局IPv6

2019年，工信部簽發《工業和資訊化部關於開展2019年IPv6網路就緒專項行動的通知》，從網路基礎設定、應用基礎設施、終端設施裝置，到網站和應用生態，提出了明確的指標化任務，並對網路的服務效能和安全性明確了目標要求。從軟體服務商到終端裝置製造商，所有業務都要過渡到IPv6，顯然，普及IPv6已成為國家戰略。

2018年，阿里雲就已建成國內首家IPv6 DDoS雲防禦系統，支援秒級監控防禦海量IP，並在護航全球最大線上購物狂歡節雙十一過程中進行了大規模實戰。期間，IPv4和IPv6雙棧防禦系統為雲上客戶和阿里電商業務攔截5000多次DDoS攻擊，成功保障雙十一的順利進行，驗證了阿里雲DDoS高防IP優秀的防禦效果、成熟性和穩定性。

阿里雲IPv6 DDoS高防IP發展節點

在越來越多的企業過渡到IPv6協議的同時，安全問題也開始凸顯。2018年初，IPv6 DDoS攻擊已經開始在網際網路出現。而很多服務提供者還沒有做好將安全防護升級到IPv6的準備。2019年，應對好IPv6浪潮帶來的安全挑戰，將變得尤為重要。

對於網際網路服務提供者來說，重構、升級系統來支援IPv6協議下的安全防護涉及到基礎設施建設、安全架構和體系的整體改變，成本較高，利用雲服務快速搭建基於IPv6的防護體系更具有可行性。目前，阿里雲已經以產品化的形式提供IPv6防護能力，助力企業做好新時代下的安全防護。

IPv6 DDoS防禦最佳實踐

對於網際網路服務提供者，業務過渡到IPv6一般需要考慮3個問題：

首先，保障現有的IPv4業務穩定執行，水平擴充套件IPv6服務，逐步將流量排程到IPv6。
其次，需要快速搭建出一個IPv6服務架構，快速具備可以對外服務、滿足政策要求、安全合規的IPv6服務。這其中需要考慮投資產出比，以合理成本、人力投入的情況下部署IPv6服務，並儘量不依賴後端大規模改造。
再次，做好服務和安全的可擴充套件和可演進性，以達到IPv4同樣的能力和規模，並可持續迭代。

使用阿里雲安全產品搭建IPv6服務可以遵循以下最佳實踐：

1.改造雲下IPv4業務或改造前端接入網路場景

• 域名解析層：使用雲解析DNS 進行IPv4/IPv6網站域名解析；
• 邊緣接入和加速層：使用IPv4/IPv6雙棧的CDN 對網頁靜態內容進行瀏覽加速；
• 網路入口安全層：使用IPv4/IPv6的DDoS防護包+IPv4/IPv6的WAF進行安全防禦；
• IPv6<->IPv4轉換層：NAT 64服務轉換或使用WAF 以IPv4方式回源；
• 後端網路：原有IPv4網路和服務或雲下IPv4資料中心；

2.雲上全鏈路IPv6場景

• 域名解析層：使用雲解析DNS 進行IPv4/IPv6網站域名解析；
• 邊緣接入和加速層：使用IPv4/IPv6雙棧的CDN 對網頁靜態內容進行瀏覽加速；
• 網路入口安全層：使用IPv4/IPv6的DDoS防護包+IPv4/IPv6的WAF進行安全防禦；
• 負載均衡層：使用IPv4/IPv6 SLB做負載分攤；
• 後端服務：使用IPv4/IPv6 伺服器、儲存、快取、資料庫搭建後端服務；

2019年，阿里雲將在新加坡、印度、美國等海外國家及地區上線IPv6產品，進行安全防護，助力企業IPv6業務的全球化。未來，阿里雲將持續運用創新技術驅動更高等級的安全產品，為百萬企業提供服務，解決多樣化的安全問題，實現普惠安全。

原文連結

本文為雲棲社群原創內容，未經允許不得轉載。