家庭用户通常需要将 Windows 防火墙设置为私人的当他们连接到家庭网络时,配置文件。最常见的设置是连接到 ISP 提供的路由器。
如果 ISP 提供 IPv6 连接,则连接的计算机将拥有一个全局可路由的 IPv6 地址。这意味着它的所有端口和应用程序都直接暴露在互联网上。对于 IPv4,中间通常会有 NAT,充当防火墙。
其安全性取决于正在运行哪些应用程序以及哪些端口处于打开状态。在典型配置中,可能会有一些东西可以访问。至少会有 Windows 文件共享 RPC 通信端口。这些功能过去曾受到安全问题的影响。
有些路由器(包括我的)有一个“IPv6 防火墙”,它会直接丢弃所有入站 IPv6 流量。但如果我真的想为某些应用程序(如远程桌面)打开至少一个入站端口,那么我别无选择,只能暴露一切到每个人。
这是否意味着启用 IPv6 的计算机必须选择民众配置文件,因为任何人(不仅仅是受信任的设备)都可以连接?
答案1
不。无论是 Windows 防火墙还是功能强大的路由器防火墙都不是“全有或全无”的。
家庭用户在连接到家庭网络时通常需要将 Windows 防火墙设置为私人配置文件
“私人”模式实际上并不允许来自到处:大多数默认规则仅限于“此子网”,对于 IPv6 来说,这意味着即使在此模式下,也只会接受同一 /64 内的其他主机(例如,仅您的家庭网络)。外部连接仍被阻止。
(还要注意,内置的 Windows 防火墙不仅知道 TCP 端口,还知道更高层:它还可以限制对单个 RPC 服务的访问,即使它们在共享端口上运行。这也意味着 SMB 文件共享访问不会一定自动授予 RPC-over-SMB 访问权限。
默认的“同一子网”有例外(例如,由于 MS 信任 NLA,远程桌面是完全开放的),但这些都可以通过 轻松更改wf.msc。
这就引出了第二个原因:即使配置文件的默认设置不好,具有两个可定制的配置文件本身就是一个对许多高级用户有用的功能(他们仍然能够为不同的安全级别配置至少自定义规则)。
对于 IPv4,通常会有一个 NAT 充当防火墙。
NAT 不充当防火墙;它用于此外防火墙。是的,你可以说它提供了额外的一层来抵御远程攻击者——因为私有 LAN 地址在互联网上无法路由——但这与实际的数据包无关过滤防火墙可以做到这一点。
如果您只有 NAT 而没有其他形式的数据包过滤,那么您的直接 WAN 邻居仍然可以仅通过 来访问您的 LAN 内部ip route add。
有些路由器(包括我的)有“IPv6 防火墙”,它会直接丢弃所有入站 IPv6 流量。但如果我真的想为某些应用程序(如远程桌面)打开至少一个入站端口,那么我别无选择,只能将所有内容暴露给所有人。
那么,这是路由器固件中的一个重大缺陷。如果其防火墙支持针对传入 IPv4 的自定义“允许特定、拒绝所有”规则,则没有理由它无法支持 IPv6。
在 IPv4 和 IPv6 中,路由器很容易实现防火墙,仅允许特定主机和/或特定端口的入站连接通过。大多数家用路由器甚至没有实现自己的防火墙;它们附带标准 Linux iptables,因此它们没有借口。
如果你完全确定你的路由器不提供自定义 IPv6 规则(它们可能命名如果您在启用“虚拟服务器”或“端口转发”(尽管不涉及 DNAT)时遇到问题,请检查是否有可用的固件更新。