Dav*_*itt 7 firewall ipv6 best-practices
我想从 private-IPv4-subnet-behind-NAT 切换到 IPv6,但当然我无意将我的用户的工作站“不受保护”地暴露在网络上。
一些明显的要点:
是否有推荐的防火墙设置指南来讨论此类设置的详细信息和经验?
该建议与自商业互联网开始以来我们在 .EDU 空间中所采用的 public-IPv4-subnet-behind-Firewall 设置基本没有变化。由于早期的 .EDU 子网分配相当慷慨(我的旧工作有一个 IPv4 /16 分配,而且我知道另一个我们规模的机构有一个 /16 和另一个 /18),这些机构在保护公共可路由 IP 方面拥有丰富的经验防火墙后面的地址。哎呀,这种设置是原始 IP 创建者的想法。
原则(凭记忆):
一个简短的清单,我知道。但是 20 年前的基本防火墙原则是一样的:只允许访问您想要允许的那些 IP:端口组合,拒绝其他一切。
如果迄今为止您的规则包括“仅在内部发起的流量”(NAT),但对已发布的服务(端口转发)有一些例外,您可以坚持这一点并简单地将其转移到 IPv6。
您将需要解决 v6 附带的隧道和加密功能的其他影响,但总的来说,适用于 v4 的所有内容仍然适用于 v6。推荐阅读:Building Internet Firewalls(Zwicky、Cooper、Chapman)。
| 归档时间: |
|
| 查看次数: |
1836 次 |
| 最近记录: |