简谈反向代理如何助力高校IPv6建设

Posted 2021-04-25 网瑞达科技

最近在高校网络圈，IPv6建设的话题突然被反复提及：

首先是宋崟川@LinkedIn根据DNS服务、根域网站、WWW网站及邮件MDA四种检测标准，详细梳理了九校联盟、一流大学建设高校、一流学科建设高校的IPv6具体建设情况。[1]

中科大张焕杰老师随即从IPv6解析、IPv6访问、v4 HTTPS、v6 HTTPS、HTTP/2五个方面对高校网络建设进行综合评分与排名。[2]

表1 九校联盟高校对比

在看到这些统计后，厦门大学郑海山老师得到启发，实现了所在高校的邮件系统和校主页的IPv6支持，并发表了自己的体悟与建议。[3]

上述的三篇文章都在一定程度上体现了当前高校IPv6建设的现状与难题：

• 配置：

• 配置复杂。想要实现IPv6、HTTPS、HTTP/2全覆盖的配置成本巨大。因此高校应用中IPv6覆盖程度非常低，比如统计得出所有高校的邮件系统都不提供对外的IPv6服务。

• 硬件支持性差。某些较老硬件应用交付设备不支持HTTP/2。Apache2.4.17才加入了HTTP/2的支持，因此Ubuntu 16.04 LTS和CentOS7都没有原生支持。

• 安全：

• 安全设备支持性差。虽然IPv6相较于IPv4大大提高了协议上的安全性，但目前市面上的各种安全设备对于IPv6的支持尚未完善，因此在IPv6应用生态上具有很大的安全隐患。

• 端口全部开放。IPv4关闭了许多危险端口，而IPv6的端口实际上是全部开放的。

针对这些问题，郑老师提出了使用反向代理的建议。

图 网瑞达反向代理系统原理

- 简化配置 -

在代理服务器上完成所有对外发布需要的配置，包括安全、网络、域名发布等。校内应用无需再逐一进行配置，全部隐藏在代理服务器后即可，外部用户统一通过代理服务器对所需应用进行访问。

图 资源无须多余配置

因此利用反向代理，高校可轻松地实现IPv6、HTTPS、HTTP/2的全覆盖，包括邮件服务、视频源的对外服务支持等等。且网瑞达反向代理系统，自带受信任的HTTPS证书，北师大就已利用网瑞达反代，成功实现全网HTTP转HTTPS。

图 网瑞达反向代理系统v4/v6双栈发布资源

图 北师大HTTP转HTTPS成功案例

- 灵活的访问策略 & 一键断网 -

在高校网络管理中，反向代理常常被用来和WebVPN相提并论，但这其实只是反向代理的“花式应用”之一。

在反向代理基础上，网瑞达将访问策略、安全策略、备份管理、调度策略全部融入，全方位保障学校应用平稳运行。

    图 网瑞达反向代理系统功能架构

其中访问策略功能，不仅实现了WebVPN的访问效果，其策略制定更加灵活。

支持用户自定义访问策略，其中包括IP组策略，时间-访问策略，用户可根据需求设置不同时间段内不同的访问方式。

图 访问策略

作为辅助管理，网瑞达也为资源的管理员提供了微信端的一键断网工具，便于在突发情况下快速关闭网站发布。

图 微信上一键断网

- 保障安全 -

网瑞达反向代理系统自带WAF，可更灵活的自定义资源安全规则。更有基于用户行为的入侵检测分析，实时保护资源安全。

图 网瑞达WAF

郑老师在文章开头说道：“只有在潮水褪去后，才知道谁在裸泳。”

那就让我们用这句结尾吧：只有在潮水褪去后，才知道谁早就坐上了潜水艇。

（仅来自中二的小编，不代表官方立场。）

---

更多资料

• 网瑞达反向代理系统介绍视频《资源安全访问解决方案》：http://v.wrdtech.com/vod-show-detail/66

  (点击阅读原文即可跳转）

• 销售联系方式

---

引文

[1] 宋崟川.《高等院校IPv6对外服务支持情况》.LinkedIn. 20180608. https://www.ipv6-cn.com/ipv6-status-of-chinese-domains/2018/06/08/highered.html

[2] 张焕杰.《高校网站IPv6、HTTPS、HTTP/2支持情况》.中国科学技术大学.20180608. https://ipv6.ustc.edu.cn/

[3] 郑海山. .厦门大学. 20180608