近日，阿里云数据中心骨干网IPv6 DDoS网络安全防御被工业和信息化部认定为“网络安全技术应用试点示范项目”，本次评选由工业和信息部网络安全管理局发起，从实用性、创新性、先进性、可推广性等维度展开，阿里云成为唯一一家入选IPv6 DDoS防护类项目的云服务商。

响应国家号召，率先布局IPv6

2019年，工信部签发《工业和信息化部关于开展2019年IPv6网络就绪专项行动的通知》，从网络基础设置、应用基础设施、终端设施设备，到网站和应用生态，提出了明确的指标化任务，并对网络的服务性能和安全性明确了目标要求。从软件服务商到终端设备制造商，所有业务都要过渡到IPv6，显然，普及IPv6已成为国家战略。

2018年，阿里云就已建成国内首家IPv6 DDoS云防御系统，支持秒级监控防御海量IP，并在护航全球最大在线购物狂欢节双十一过程中进行了大规模实战。期间，IPv4和IPv6双栈防御系统为云上客户和阿里电商业务拦截5000多次DDoS攻击，成功保障双十一的顺利进行，验证了阿里云DDoS高防IP优秀的防御效果、成熟性和稳定性。

阿里云IPv6 DDoS高防IP发展节点

在越来越多的企业过渡到IPv6协议的同时，安全问题也开始凸显。2018年初，IPv6 DDoS攻击已经开始在互联网出现。而很多服务提供者还没有做好将安全防护升级到IPv6的准备。2019年，应对好IPv6浪潮带来的安全挑战，将变得尤为重要。

对于互联网服务提供者来说，重构、升级系统来支持IPv6协议下的安全防护涉及到基础设施建设、安全架构和体系的整体改变，成本较高，利用云服务快速搭建基于IPv6的防护体系更具有可行性。目前，阿里云已经以产品化的形式提供IPv6防护能力，助力企业做好新时代下的安全防护。

IPv6 DDoS防御最佳实践

对于互联网服务提供者，业务过渡到IPv6一般需要考虑3个问题：

首先，保障现有的IPv4业务稳定运行，水平扩展IPv6服务，逐步将流量调度到IPv6。

其次，需要快速搭建出一个IPv6服务架构，快速具备可以对外服务、满足政策要求、安全合规的IPv6服务。这其中需要考虑投资产出比，以合理成本、人力投入的情况下部署IPv6服务，并尽量不依赖后端大规模改造。再次，做好服务和安全的可扩展和可演进性，以达到IPv4同样的能力和规模，并可持续迭代。

使用阿里云安全产品搭建IPv6服务可以遵循以下最佳实践：

1.改造云下IPv4业务或改造前端接入网络场景

• 域名解析层：使用云解析DNS 进行IPv4/IPv6网站域名解析；
• 边缘接入和加速层：使用IPv4/IPv6双栈的CDN 对网页静态内容进行浏览加速；
• 网络入口安全层：使用IPv4/IPv6的DDoS防护包+IPv4/IPv6的WAF进行安全防御；
• IPv6<->IPv4转换层：NAT 64服务转换或使用WAF 以IPv4方式回源；
• 后端网络：原有IPv4网络和服务或云下IPv4数据中心；

2.云上全链路IPv6场景

• 域名解析层：使用云解析DNS 进行IPv4/IPv6网站域名解析；
• 边缘接入和加速层：使用IPv4/IPv6双栈的CDN 对网页静态内容进行浏览加速；
• 网络入口安全层：使用IPv4/IPv6的DDoS防护包+IPv4/IPv6的WAF进行安全防御；
• 负载均衡层：使用IPv4/IPv6 SLB做负载分摊；
• 后端服务：使用IPv4/IPv6 服务器、存储、缓存、数据库搭建后端服务；

2019年，阿里云将在新加坡、印度、美国等海外国家及地区上线IPv6产品，进行安全防护，助力企业IPv6业务的全球化。未来，阿里云将持续运用创新技术驱动更高等级的安全产品，为百万企业提供服务，解决多样化的安全问题，实现普惠安全。​​​​

本文为云栖社区原创内容，未经允许不得转载。