lee*_*d00 31 security firewall nat ipv6
可能的重复:
切换到 IPv6 并摆脱 NAT?你在开玩笑吗?
我正在考虑在 IPv4 中大部分时间你有一个单一的点来配置防火墙的方式,主要是你的路由器,但是如果每个人都有一个全局可访问的 IP 地址,这是否意味着每个计算机用户基本上都是负责管理自己的防火墙?
(我的意思是我承认在使用公共 wifi 接入点时也是如此,但仍然......)
Sha*_*den 54
IPv6 摆脱了 NAT,这无疑是避免内部主机意外将服务暴露给 Internet 的很大一部分。因此,通过这种方式,是的,它改变了大多数人的工作方式。
然而,这并不意味着您在网络边缘仍然不会有中央防火墙 - 变化只是它将充当纯防火墙而不是防火墙/NAT 设备。由管理这些防火墙的人员来确保避免意外暴露服务;启动拒绝规则!
摆脱 NAT 是对网络安全实践的重大改变,而且在不久的将来,我们肯定会听到一些由于防火墙和 IPv6 配置错误而导致的意外信息泄露漏洞。但 NAT 一直是一个黑客,从长远来看,让防火墙摆脱跟踪所有这些连接和虚假连接以进行无状态协议和端口转换的业务将是一件好事——对我来说,降低复杂性听起来不错!
Ric*_*llo 14
不,这不是噩梦。NAT 和私有地址不是出于安全原因创建的,而是因为 IPv4 地址已用完而创建的。
我承认使用公共 IP 似乎很可怕,但为了安全起见,您应该信任您的防火墙,而不是您的 NAT。
阅读关于同一点的服务器故障的另一个问题。许多将 NAT 视为安全性的标准都发生了变化,例如 PCI-DSS 标准在 2010 年 10 月下旬进行了修订,并删除了 NAT 要求(v1.2 的第 1.3.8 节)。
如果您不停止这种恐惧,那么您将永远无法拥有 Windows 7 Direct Access 等令人难以置信的技术的所有优势。