最近在高校网络圈,IPv6建设的话题突然被反复提及:
首先是宋崟川@LinkedIn根据DNS服务、根域网站、WWW网站及邮件MDA四种检测标准,详细梳理了九校联盟、一流大学建设高校、一流学科建设高校的IPv6具体建设情况。[1]
中科大张焕杰老师随即从IPv6解析、IPv6访问、v4 HTTPS、v6 HTTPS、HTTP/2五个方面对高校网络建设进行综合评分与排名。[2]
表1 九校联盟高校对比
在看到这些统计后,厦门大学郑海山老师得到启发,实现了所在高校的邮件系统和校主页的IPv6支持,并发表了自己的体悟与建议。[3]
上述的三篇文章都在一定程度上体现了当前高校IPv6建设的现状与难题:
配置:
配置复杂。想要实现IPv6、HTTPS、HTTP/2全覆盖的配置成本巨大。因此高校应用中IPv6覆盖程度非常低,比如统计得出所有高校的邮件系统都不提供对外的IPv6服务。
硬件支持性差。某些较老硬件应用交付设备不支持HTTP/2。Apache2.4.17才加入了HTTP/2的支持,因此Ubuntu 16.04 LTS和CentOS7都没有原生支持。
安全:
安全设备支持性差。虽然IPv6相较于IPv4大大提高了协议上的安全性,但目前市面上的各种安全设备对于IPv6的支持尚未完善,因此在IPv6应用生态上具有很大的安全隐患。
端口全部开放。IPv4关闭了许多危险端口,而IPv6的端口实际上是全部开放的。
针对这些问题,郑老师提出了使用反向代理的建议。
图 网瑞达反向代理系统原理
- 简化配置 -
在代理服务器上完成所有对外发布需要的配置,包括安全、网络、域名发布等。校内应用无需再逐一进行配置,全部隐藏在代理服务器后即可,外部用户统一通过代理服务器对所需应用进行访问。
图 资源无须多余配置
因此利用反向代理,高校可轻松地实现IPv6、HTTPS、HTTP/2的全覆盖,包括邮件服务、视频源的对外服务支持等等。且网瑞达反向代理系统,自带受信任的HTTPS证书,北师大就已利用网瑞达反代,成功实现全网HTTP转HTTPS。
图 网瑞达反向代理系统v4/v6双栈发布资源
图 北师大HTTP转HTTPS成功案例
- 灵活的访问策略 & 一键断网 -
在高校网络管理中,反向代理常常被用来和WebVPN相提并论,但这其实只是反向代理的“花式应用”之一。
在反向代理基础上,网瑞达将访问策略、安全策略、备份管理、调度策略全部融入,全方位保障学校应用平稳运行。
图 网瑞达反向代理系统功能架构
其中访问策略功能,不仅实现了WebVPN的访问效果,其策略制定更加灵活。
支持用户自定义访问策略,其中包括IP组策略,时间-访问策略,用户可根据需求设置不同时间段内不同的访问方式。
图 访问策略
作为辅助管理,网瑞达也为资源的管理员提供了端的一键断网工具,便于在突发情况下快速关闭网站发布。
图 上一键断网
- 保障安全 -
网瑞达反向代理系统自带WAF,可更灵活的自定义资源安全规则。更有基于用户行为的入侵检测分析,实时保护资源安全。
图 网瑞达WAF
郑老师在文章开头说道:“只有在潮水褪去后,才知道谁在裸泳。”
那就让我们用这句结尾吧:只有在潮水褪去后,才知道谁早就坐上了潜水艇。
(仅来自中二的小编,不代表官方立场。)
更多资料
网瑞达反向代理系统介绍视频《资源安全访问解决方案》:http://v.wrdtech.com/vod-show-detail/66
(点击阅读原文即可跳转)
销售联系方式
引文
[1] 宋崟川.《高等院校IPv6对外服务支持情况》.LinkedIn. .
[2] 张焕杰.《高校网站IPv6、HTTPS、HTTP/2支持情况》.中国科学技术大学..
[3] 郑海山. 《高等院校Web服务提供IPv6情况随笔》.厦门大学.