基于IPv6的成品油銷售企業互聯網業務IT基礎架構設計

摘 要：【目的】近年來，隨著監管力度的增大，監管機構相繼提出等級保護、IPv6、信息技術應用創新等監管要求。為了滿足企業自身互聯網業務信息化建設的需求，應對潛藏在互聯網用戶中的各種威脅，且符合相關建設的規范，提出了基于IPv6的成品油銷售企業互聯網業務IT基礎架構設計。【方法】首先，對企業互聯網業務IT基礎架構建設的各項需求進行分析；其次，對安全設備的配置進行研究；最后，采用智能DNS設備配置雙棧解析地址來解決用戶雙棧訪問的問題，采用功能獨立且互補的安全設備組合部署來解決安全防護問題。【結果】該設計支持IPv4到IPv6過渡期的雙棧訪問，滿足了互聯網業務安全防護的需求。【結論】該設計可為IT從業人員的相關工作提供一定的參考依據。

關鍵詞：互聯網業務；等級保護；IPv6；IT基礎架構；安全防護

中圖分類號：TN929.5 文獻標志碼：A 文章編號：1003-5168（2024）18-0034-04

DOI：10.19968/j.cnki.hnkj.1003-5168.2024.18.007

IT Infrastructure Design of the Internet Business IT Infrastructure of the Refined Oil Sales Enterprise Based on IPv6

SUN Peng

（PetroChina Shandong Marketing Company，Jinan 250000，China）

Abstract： [Purposes] Recent years， with the increasing regulatory efforts of regulatory agencies， regulatory requirements such as classified protection， IPv6， and Information technology application innovation have been successively proposed. In order to meet the needs of the enterprTweyTj//SYgfibiG7h/a7BRfbBEdVRYH42p7KPhwpGE=ise 's own internet business information construction， deal with the various threats hidden in the internet users， and meet the relevant construction specifications， the design of the Internet business IT infrastructure of the refined oil sales enterprise based on IPv6 is proposed. [Methods] First， this paper analyzes the requirements of enterprise internet business IT infrastructure construction; second， this paper studies the configuration of security equipment; finally， the intelligent DNS device is used to configure the dual-stack parsing address to solve the problem of user dual-stack access， and the functional independent and complementary security device combination deployment is used to solve the security protection problem.[Findings] This design method supports double stack access during the transition period from IPv4 to IPv6， and meets the requirements of Internet business security protection. [Conclusions] This design method can provide a reference basis for the relevant work of IT professionals.

Keywords：internet business；classified protection；IPv6； IT infrastructure；safety protection

0 引言

2019年5月正式發布的國家標準《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239—2019）［1］，被稱為網絡安全等級保護制度2.0國家標準，是國家開展網絡安全等級保護工作的指導性文件。該標準在原有標準的基礎上，增加了對新型網絡攻擊行為的防護和個人信息保護等新要求，實現了對傳統信息系統、基礎信息網絡、云計算、大數據、物聯網、移動互聯和工業控制信息系統等保護對象的全覆蓋。

2023年4月，工業和信息化部、中央網信辦、國家發展改革委等中央八部門聯合印發《工業和信息化部等八部門關于推進IPv6技術演進和應用創新發展的實施意見》［2］。實施意見提出，堅持以習近平新時代中國特色社會主義思想為指導，認真貫徹落實黨的二十大和二十屆一中、二中全會精神，完整、準確、全面貫徹新發展理念，以加強新型信息基礎設施建設、推進下一代互聯網升級演進為主線，以促進IPv6技術演進和應用創新發展、增強IPv6規模部署和應用內生動力為目標，打造技術、網絡、設備、應用、安全協同互促的產業生態，構筑下一代互聯網創新發展新優勢，積極助力制造強國、質量強國、網絡強國和數字中國建設，有力支撐經濟社會高質量發展。

隨著5G手機的普及，移動互聯網業務越來越受到成品油銷售企業（以下簡稱企業）的重視。作為業務支撐的重要底座，IT基礎架構的建設除要滿足自身業務需求外，更要滿足各項標準及行業監管機構的要求。同時，移動互聯網業務直接面向互聯網用戶，傳統的簡單業務基礎架構難以應對來自互聯網惡意用戶的各種攻擊威脅，安全防護手段亟待加強。

1 業務需求分析

企業移動互聯網業務通常包括官方信息發布、移動支付、促銷活動、賬戶管理等，各業務系統分別對應不同的公網地址。目前，大量企業的IT基礎架構仍停留在IPv4單棧模式，面對當前推進IPv6規模部署的政策要求，對業務系統進行IPv6改造是現階段企業IT管理部門的首要任務。改造工作不僅包括網絡地址的配置變更，而且包括與之相關的業務系統和安全防護系統的變更。

同時支持IPv6和IPv4雙棧的用戶移動終端會優先使用IPv6地址訪問互聯網業務。企業自建的移動互聯網業務區通常接入多家運營商線路，從而保證線路冗余。因此，需要為用戶訪問多個域名做IPv6地址解析，同時提供IPv4地址解析服務IPv4單棧用戶。為了用戶獲得良好的訪問體驗，還需要智能DNS系統為用戶更加快速地解析運營商地址。

企業的移動互聯網業務遭受網絡攻擊，會嚴重威脅到企業的利益［3］。企業IT管理人員面對層出不窮的拒絕服務攻擊（DDoS）、后門攻擊、漏洞攻擊、勒索病毒、網絡釣魚等互聯網威脅時，常束手無策。

企業自建業務系統的安全防護工作需要遵循等級保護標準以及行業監管要求，建設滿足等級保護要求的業務系統，需要提供等保要求的各種安全防護能力，如抗DDoS、入侵防御（IPS）、Web應用防護等。落實到基礎架構層面，即需要部署相應的安全設備來提供對應的安全防護功能，確保IT管理人員在遇到互聯網攻擊事件時能夠作出有效應對。

2 IT基礎總體架構

本研究提出一種滿足IPv6和IPv4雙棧訪問要求，并能夠有效防范各種互聯網攻擊的移動互聯網業務系統，其基礎架構如圖1所示。

2.1 基礎網絡設計

接入交換機設計為二層網絡，為每條運營商線路配置一個VLAN，與下游設備通過trunk鏈路二層互聯。

匯聚交換機設計為三層網絡，配置服務器網關地址。配置默認路由指向出口的鏈路負載均衡設備，配置明細路由指向應用負載均衡設備和內部其他網絡區域，

2.2 IPv4和IPv6雙棧設計

為應對當前互聯網地址雙棧過渡期，基礎架構所需設備均配置為IPv4和IPv6雙棧模式。企業購買的運營商線路能夠同時提供IPv4和IPv6雙棧地址，多家運營商線路匯入一組堆疊部署的接入交換機。智能DNS設備為互聯網用戶提供地址解析服務，用戶通過域名訪問到DNS服務器時，將能夠同時獲取到IPv4和IPv6雙棧地址，且返回給用戶的地址會根據用戶IP地址的歸屬，選擇訪問體驗最好的運營商線路。根據IPv6推進相關政策要求，業務前置服務器改造為IPv6地址將成為主流趨勢。服務器上游部署應采用負載均衡設備，提高業務帶寬和并發性能。應用負載均衡設備上配置IPv4—IPv6地址轉換，保證IPv4用戶也能正常訪問到服務器。

2.3 安全防護設計

多家運營商線路經過DDoS設備進行流量清洗，DDoS設備無雙機機制，通常采用單臺部署，開啟接口對Bypass功能，防止設備掉電時影響業務。為進一步提高系統架構的健壯性，減少單點故障對業務的影響，需要配置一條逃生線路來連接上下游的交換機。正常情況下關閉交換機互聯接口，DDoS9f30fbdd56102293e05e7221746e0dc5c4f13625aa0d7608201826a6a105cd72設備故障時手動開啟交換機接口，恢復業務。為用戶提供地址解析服務的DNS設備部署在Db28263ea87b349f4140afeb58a7503dc86c3ca9579e98fa6daa3405a4cca5609DoS設備的下游，受到DDoS設備的保護。

互聯網業務公網地址配置在鏈路負載均衡設備上，鏈路負載均衡設備雙機主備部署。考慮到當前互聯網業務大多基于HTTPS，后端安全設備無法對SSL加密流量進行分析和防護，因此需要在鏈路負載均衡設備上進行SSL卸載，將訪問流量轉化為明文。鏈路負載均衡設備具備大吞吐量和支持高并發量的性能，由該設備提供SSL卸載功能可減輕后端安全設備處理加密流量的性能開銷。

鏈路負載均衡設備下游部署一組七層防火墻，七層防火墻具備入侵檢測與防御、網絡訪問控制、病毒防護等功能。對通過鏈路負載均衡的流量明文進行分析檢測，及時將威脅隔離在外，滿足等級保護的對應要求。

針對重要互聯網業務系統，還需要在七層防火墻下游部署一組Web應用防火墻（WAF），防御來自互聯網的各種Web攻擊，如SQL注入、跨站腳本攻擊（XSS）、遠程文件包含、命令注入等，防止敏感數據泄露和網站被篡改。

防火墻和WAF設備采用透明模式部署，可降低故障時對業務的影響，并簡化日常運維工作。

2.4 設計驗證

經過測試驗證，采用本研究提出的IT基礎架構部署互聯網業務系統，能夠切實有效地解決企業IT管理部門面臨的諸多問題。

互聯網用戶訪問業務系統，能夠獲取到DNS設備提供的IPv6和IPv4雙棧地址，滿足各種終端訪問業務系統的需求。DNS提供給用戶的訪問地址是基于用戶網絡的最佳運營商線路，用戶能夠獲得最佳的訪問體驗。

本研究充分考慮了基礎架構冗余性，不存在單點故障，任何一臺設備的故障都不會對業務造成影響，保證了企業業務的連續性。

當面對互聯網攻擊時，DDoS設備、防火墻、WAF能夠共同承擔起安全防護責任，并通過日志記錄下每一起攻擊事件的來源，最大程度降低互聯網攻擊帶來的威脅。

3 結語

我國計算機網絡正在向IPv6單棧模式演進［4］，對于當前仍停留在IPv4的企業來說，業務地址改造刻不容緩，而互聯網業務的IPv6改造更是重中之重。同時，互聯網的發展也催生了惡意用戶對于企業的攻擊威脅，諸如勒索病毒等安全事件時有發生，企業互聯網業務的安全防護也必須得到足夠的重視。

本研究提出的一種移動互聯網業務IT基礎架構建設方案，能夠支持IPv6和IPv4雙棧業務訪問，充分滿足國家政策和監管機構對于安全防護和IPv6等要求，并能夠有效地保護業務系統安全，降低互聯網攻擊對業務造成的影響，對于企業IT管理人員具有重要的參考價值。

未來，成品油銷售企業將向數字化轉型［5-6］，IT基礎設施建設必將配合業務的轉型而做出新的轉變。分布式［7］、混合云［8］架構具有更好地支持業務敏捷上線、資源動態調配等特點，將成為IT從業人員研究的重點。

參考文獻：

［1］ 全國信息安全標準化技術委員會.信息安全技術 網絡安全等級保護基本要求 ：GB/T 22239—2019 ［S］.北京：中國標準出版社， 2019.

［2］ 工業和信息化部，中央網絡安全和信息化委員會辦公室，國家發展和改革委員會，等.關于推進IPv6技術演進和應用創新發展的實施意見［EB/OL］.（2023-04-23）［2024-03-27］. https：//wap.miit.gov.cn/zwgk/zcwj/wjfb/yj/art/2023/art_383f66374ab0464abd48a5d799180af3.html.

［3］ 國家互聯網信息辦公室.國家互聯網信息辦公室關于《網絡安全事件報告管理辦法（征求意見稿）》公開征求意見的通知[EB/OL]. （2023-12-08） ［2024-03-27］. http：//www.whwx.gov.cn/wxdt/202312/t20231208_2315510.shtml.

73b443f29ed71c4c5850669cc824ae4a［4］ 張鑫，董剛. 企業IPv6過渡綜述［J］. 數碼設計（下），2020，9（2）：34-35.

［5］ 翁曉東. 混合云架構對企業IT基礎環境的影響與優勢［J］. 工程技術研究，2023，5（19）：44-46.

［6］ 姚牧，董俊杰，黃農壹，等. 基于分布式企業IT基礎架構構建模式的探討［J］. 計算機產品與流通，2023（7）：73-75，78.

［7］ 高興勤. 成品油銷售行業數字化轉型研究［J］. 中國石油和化工標準與質量，2022，42（17）：127-129.

［8］ 沈輝. 關于成品油銷售企業數字化轉型的探索與研究［J］. 當代石油石化，2021，29（8）：31-34.