boo*_*ife 8 networking isp ipv6
当家庭用户连接到他们的家庭网络时,通常希望他们将 Windows 防火墙设置为私人配置文件。最常见的设置是连接到 ISP 提供的路由器。
如果 ISP 提供 IPv6 连接,则连接的计算机将具有全局可路由的 IPv6 地址。这意味着它的所有端口和应用程序都直接暴露在互联网上。使用 IPv4 时,通常有 NAT 充当防火墙。
其安全性取决于正在运行的应用程序和打开的端口。在典型的配置中,可能有一些可以访问的东西。至少会有共享 RPC 通信端口的 Windows 文件。这些功能过去曾受到安全问题的影响。
一些路由器(包括我的)有一个“IPv6 防火墙”,它可以简单地丢弃所有入站 IPv6 流量。但是如果我真的想为某个应用程序(例如远程桌面)打开至少一个入站端口,那么我别无选择,只能向所有人公开所有内容。
这是否意味着启用 IPv6 的计算机必须选择公共配置文件,因为任何人(不仅仅是受信任的设备)都可以连接?
use*_*686 13
不。Windows 防火墙和合格路由器的防火墙都不是“全有或全无”。
当家庭用户连接到家庭网络时,通常希望他们将 Windows 防火墙设置为私人配置文件
“私有”模式实际上并不允许来自任何地方的所有连接:大多数默认规则仅限于“此子网”,这对于 IPv6 意味着即使在这种模式下,也只有同一 /64 内的其他主机(例如,只是您的家庭作业)将被接受。外部连接仍然被阻止。
(还要注意,内置的 Windows 防火墙知道比 TCP 端口更高的层:它也可以限制对单个 RPC 服务的访问,即使它们在共享端口上运行。这也意味着 SMB 文件共享访问不吨一定自动授予RPC-过SMB访问。)
默认情况下“相同子网”也有例外(例如,远程桌面是完全开放的,因为 MS 信任 NLA),但这些很容易通过wf.msc.
这带来的第二个理由:即使配置文件有坏的默认设置,只是有2个自定义配置文件,本身就是由许多高级用户(谁仍然能够配置在不同的安全级别至少自定义规则)功能非常有用。
使用 IPv4 时,通常有 NAT 充当防火墙。
NAT 不充当防火墙;除了防火墙之外,它还使用它。是的,您可以说它为远程攻击者提供了一个额外的层——因为私有 LAN 地址在 Internet 上是不可路由的——但这与防火墙所做的实际数据包过滤无关。
如果您只有 NAT 而没有其他形式的数据包过滤,那么您的直接 WAN 邻居仍然可以通过ip route add.
一些路由器(包括我的)有一个“IPv6 防火墙”,它可以简单地丢弃所有入站 IPv6 流量。但是如果我真的想为某个应用程序(例如远程桌面)打开至少一个入站端口,那么我别无选择,只能向所有人公开所有内容。
那么,这是路由器固件中的一个重大遗漏。如果其防火墙支持针对传入 IPv4 的自定义“特定于允许、全部拒绝”规则,则它没有理由不支持 IPv6。
在 IPv4 和 IPv6 中,路由器实现防火墙只通过到特定主机和/或仅到特定端口的入站连接是微不足道的。大多数家庭路由器甚至没有实现自己的;他们提供标准的 Linux iptables,所以他们没有任何借口。
如果您完全确定您的路由器不提供自定义 IPv6 规则(尽管不涉及 DNAT,它们可能被命名为“虚拟服务器”或“端口转发”),请检查是否有可用的固件更新。
| 归档时间: |
|
| 查看次数: |
1414 次 |
| 最近记录: |