服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 是否有推荐的IPv6防火墙设置?
Intereting Posts
警告会话开始 – 不能发送会话caching限制器 – 已经发送的头文件 软件KVM(键盘 – video – 鼠标) 如何要求所有networking活动在到达主机之前通过KVM访客防火墙? “该用户帐户没有权限运行此任务” 我在哪里可以findUbuntu 12.04中的sshd日志 挂载ntfs分区 如何使用iptables阻止DHCPstream量 如何从非技术用户获取网页组件加载速度报告 nginx-extras可以用于生产服务器吗? Exchange 2007和2013无法在内部发送电子邮件给彼此 我怎么知道通过yum更新会做什么更新? 千兆端口镜像,最大吞吐量为150 Mbps IDS 防火墙后面的Subversion服务器和Apache反向代理展示间歇性挂起 在linux上,当一个目录的大小为0而不是4096时,这意味着什么? 文件服务器 – 主机名与FQDN

是否有推荐的IPv6防火墙设置?

我想从私有IPv4-subnet-behind-NAT切换到IPv6,但我当然无意将我的用户工作站“无保护”地暴露给networking。

前面有一些明显的观点:

  • 允许访问提供的服务
  • 拒绝访问工作站

有没有一个build议的防火墙设置指南,谈论这些设置的细节和经验?

自从商用互联网开始以来,我们在.EDU领域已经拥有的公共IPv4-subnet-behind-Firewall设置的build议基本上没有改变。 由于EDU早期的子网分配相当慷慨(我的旧作拥有IPv4 / 16的分配,而且我知道另一个拥有1/16和另外一个/ 18的大小的机构),这些机构在保护公开可路由IP地址在防火墙后面。 哎呀,这个设置是原始的IP创造者想到的。

原则(从记忆):

  • 除非有特定的业务需求(默认拒绝),否则不允许外部访问内部IP地址。
  • 允许ICMP到内部地址,因为IP协议依靠它来确定networking状况。
    • Ping扫描应该被IPSconfiguration阻止。
    • 请记住,只是因为一台机器可以ping通,并不意味着它是可以连接的!
  • 反向DNS查找对于某些用例很重要,所以请确保它们正常工作。

一个短名单,我知道。 但是20年后的基本防火墙原理是一样的:只允许访问那些你想要允许的IP:端口组合,否认其他一切。

如果您的规则迄今只包含“仅在内部发起的stream量”(NAT),并且发布的服务(端口转发)有一些例外,您可以坚持这一规定,并将其转移到IPv6。

您将会对v6提供的隧道和encryptionfunction产生额外的影响,但是总的来说,适用于v4的所有function仍然适用于v6。 推荐阅读: 构buildInternet防火墙 (Zwicky,Cooper,Chapman)。

除了这里的答案之外,还应该查看一下RFC 4890 ,它通过防火墙概述了大量需要了解ICMP6的信息。 另请参阅Google的IPv6信息中心