只有在潮水褪去后,才知道谁在裸泳。

前天先是 宋崟川@LinkedIn 出了个 “高等院校 IPv6 对外服务支持情况” https://www.ipv6-cn.com/ipv6-status-of-chinese-domains/2018/06/08/highered.html ,由于我们xmu.edu.cn历史遗留问题一直A记录指向邮件系统,而邮件系统由于某些原因没有开IPv6,所以赶紧换了A记录,达到了DNS、xmu.edu.cn、www.xmu.edu.cn全部支持IPv6的目的。

然后中科大张焕杰又搞出了一个 “高校网站IPv6、HTTPS、HTTP/2支持情况” https://ipv6.ustc.edu.cn/ ,赶紧跟进,紧急对主页换Apache2源,换mpm_event,调MaxRequestWorkers参数,改Ansible脚本,折腾了一会儿,终于也达到满分了。由于张焕杰开源了检测代码,顺便PR了一下,加入了Bootstrap和DataTables,美化了界面。

当然我们也就是官方主页门面上支持IPv6了,其他网站?不好说。

触目惊心的是,如果数据统计正确的话,5个评分项目,14x个高校,0分的有100个,邮件系统对外服务IPv6全×。今年开始工信部在大力推进互联网协议第六版(IPv6)规模部署,高校作为接入中国教育和科研计算机网的理论上已经全部支持IPv6,我开始以为应该进行得还不错,直到看到这2个排行榜。或者终端支持IPv6进行得很好,但是很明显对外服务还没有达到一定水平。

这种直接公示的推动作用是非常大的,点赞他们的工作。相信很多学校会跟进,把IPv6继续扩大部署下去。

心得

  • 如果是全校都有反向代理的话,加上IPv6、HTTPS、HTTP/2是非常简单的,而且可以全覆盖。

  • 我又悲催地听说某较老硬件应用交付设备不支持HTTP/2。Apache 2.4.17 才加入HTTP/2的支持,所以Ubuntu 16.04 LTS和CentOS7都没有原生支持,需要折腾。不过这个只能算是加分项吧。

  • 所以我一直强调网站群即使有生成静态的发布服务器,也不要直接暴露在外面,最好前面加个反向代理,因为发布服务器是厂商控制的,上面的Apache等你是没法随意配置变更升级的,所以应当在前面再加个反向代理,做SSL卸载、安全加固、缓存等。

  • IPv6是有坑的,IPv6解决了IPv4非常多的问题,安全性也大大提高了,但是也带来了新的问题,而这安全问题不是协议上的,是生态上的,很多安全设备对IPv6支持得不是太好。

  • 包括我们自己在配置CentOS防火墙的时候,IPv4和IPv6是在不同的配置文件内,/etc/sysconfig/ip6tables,有很多人不注意,IPv4关闭了很多危险端口,但是IPv6实际上是全部放开的。

声明:本文来自郑海山dump,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。