我的理解是,networking地址转换(NATing)会消失于IPv6。 我们如何将networking资源与其他互联网上需要的networking资源隔离开来? 我正在考虑允许访问内部networking资源(如文件服务器或VM主机)到远程用户,如在家工作的用户。
IPv4今天也出现类似的情况。 在包括我自己在内的许多大学里,每个networking设备都有一个可公开路由的IP。 我想运行一个文件服务器,但并不真正需要公开访问。 理想情况下,它也将有一个公共的IP和VPN将不是必要的。
注释?
我们如何将networking资源与其他互联网上需要的networking资源隔离开来?
这就是有状态的防火墙。 NAT提供的隔离确实只能提供一种错误的安全感,除了安全性之外,对于其他任何东西都是不利的。
也就是说,虽然在迁移到IPv6之后NAT需要的频率要低得多,但它不会很快消失。 事实上,无论好坏,NATv6的实现已经存在,并在当今的各种组织中生产。
仅仅因为设备具有公共IP地址并不意味着它是可公开访问的。 您的默认防火墙策略应该是默认拒绝,然后根据需要只允许来往/来自特定端口或子网的stream量。
您可以使用唯一的本地地址作为公共Internet上不可用的资源。 ULA范围是fc00 :: / 7,它在全局范围之外(2000 :: / 3)。
VPN的目的不是解决NAT问题,而是强化身份validation和连接安全。 VPN仍然是安全远程访问的重要组成部分。 (即只是因为你有地址空间才能向networking公开服务,并不意味着你应该暴露一切)
将您的IPv6设备从互联网上防火墙,只提供应该公开访问的服务。 需要访问内部资源的用户仍然应该使用VPN,并且可能会应用不同的防火墙规则(或只是完全访问内部networking;取决于您的安全策略)。