可能重复:
切换到IPv6并摆脱NAT? 你在开玩笑吗?
我正在考虑在IPv4中大多数时候你有单点configuration防火墙的方式,主要是你的路由器,但是如果每个人都有一个全球可访问的IP地址,这并不意味着每个计算机用户基本上负责pipe理自己的防火墙?
(我的意思是我承认在使用公共WiFi接入点时也是如此,但是仍然是…)
IPv6摆脱了NAT,这绝对是防止服务从内部主机意外暴露给互联网的一大部分。所以这样做,是的,这是对大多数人做事情的一种改变。
但是,这并不意味着在networking边缘你还不会有一个中央防火墙 – 这个改变只不过是作为一个纯粹的防火墙,而不是一个防火墙/ NAT设备。 只有pipe理这些防火墙的人员才能确保避免意外暴露的服务; 启发拒绝规则!
摆脱NAT对于networking安全实践来说是一个巨大的变化,而且我们会听到由于防火墙和IPv6configuration错误而导致的一些意外的信息暴露违规行为。 但是,NAT一直是一个黑客,将防火墙从追踪无状态协议和端口转换的所有这些连接和假连接的业务中解放出来,将是一件好事,从长远来看,复杂性就不那么好了!
不,这不是一场噩梦。 NAT和专用地址不是出于安全原因而创build的,而是因为IPv4地址已经耗尽而创build的。
我承认,使用公有IP似乎很可怕,但为了安全起见,您应该相信您的防火墙,而不是您的NAT。
请阅读服务器故障另一个关于这一点的问题。 很多关于NAT作为安全性的标准已经发生了变化,例如2010年10月下旬修改了PCI-DSS标准,并且NAT要求被删除(v1.2的1.3.8节)。
如果你不停止这种恐惧,那么你永远不会有像Windows 7 Direct Access这样令人难以置信的技术的所有优点。
每台电脑都应该负责pipe理自己的防火墙。
这就是说,只是因为你松散的NAT并不意味着你失去了所有的好处(你仍然可以在ipv6上有NAT)。你仍然可以在路由器上使用有状态的防火墙,其他的防火墙规则也可以像ipv4一样添加。
唯一的区别是,您可能能够从专用networking中识别确切的计算机,如果这是您可以安装NAT的问题。
它仍然可以阻止随机端口扫描等..从路由器
这个问题是基于普遍的误解,因为NAT无意中提供了一些安全性,这是一种防火墙技术。 这个误解可以通过一个简单的想法实验来解决:设想一个只有一个客户端的IPv4 NAT盒子。 如果愿意,它可以将所有入站stream量转发给该客户端,并且根本不进行任何过滤。 那么你为什么不担心呢?
许多大学(和几家大公司)在每台计算机上都有有效的,可路由的IP。 这并不意味着没有网关防火墙设备。 这并不意味着你可以从互联网上获得该设备。 大多数情况下,防火墙默认设置为阻止所有stream量。但是,它确保他们的计算机位于全球唯一的地址。
如果你使用NAT,事情只是简单地得到讨厌.. IE,你想build立一个你和你的客户之间的VPN,但你们都有内部networking192.168.1.x ..这意味着,你必须然后NAT NAT连接,使他们看起来是一个不同的内部唯一的IP,这使得事情匆忙地变得丑陋。 (我必须这样做与其他5家公司,我们有VPN的)