我在使用 Windows 10 时遇到了一个问题,即 IPv6 连接随着时间的推移变得不稳定。最初,IPv6 工作正常,但过了一段时间后,它就停止工作了。经过调查,我确定该问题与我的 Windows Defender 防火墙配置有关。
将预定义的“核心网络”规则集添加到防火墙后,问题得到解决。但是,我不确定此规则集中的哪些规则负责恢复稳定的 IPv6 连接。您能否为我提供有关 Windows 10/11 的“核心网络”规则集中实现稳定 IPv6 连接所需的入站和出站规则的详细信息?
答案1
我是一名安全工程师,多年来,有人问我为什么他们的 IPv6 连接在网络上一段时间后似乎会失败。例如,用户检查连接到https://test-ipv6.com/或者在设置 DoH/DoT one.one.one.one 后,用户发现 IPv6 在https://1.1.1.1/help。
在解决问题时,我总是发现相同的原因,缺少防火墙规则,我想将其发布在这里,因为可能还有其他人正在寻找同样的东西,但找不到正确的信息。
Windows Defender 防火墙需要添加哪些规则?
Windows Defender 防火墙中的“核心网络”规则集包含一组对于 Windows 中网络通信正常运行至关重要的规则。以下是与 IPv6 连接相关的规则:
Windows Defender 防火墙中的“核心网络”规则集包含一组对于 Windows 中网络通信正常运行至关重要的规则。以下是与 IPv6 连接相关的规则:
对于出站:
ICMPv6 出站:此规则允许传出 ICMPv6 数据包,用于网络诊断和错误报告。
邻居发现出站:此规则允许传出邻居发现数据包,用于 IPv6 地址解析。
DHCPv6 出站:此规则允许传出 DHCPv6 数据包,用于 IPv6 地址配置。
Teredo 出站:此规则允许传出 Teredo 数据包,这些数据包用于通过 IPv4 网络进行 IPv6 连接。
对于入站:
ICMPv6 入站回显请求:此规则允许传入 ICMPv6 回显请求数据包,用于网络诊断和错误报告。
邻居发现入站:此规则允许传入邻居发现数据包,这些数据包用于 IPv6 地址解析。
DHCPv6 入站:此规则允许传入 DHCPv6 数据包,用于 IPv6 地址配置。
Teredo 入站:此规则允许传入的 Teredo 数据包,这些数据包用于通过 IPv4 网络进行 IPv6 连接。
通过添加“核心网络”规则集,您可以允许这些基本数据包通过 Windows Defender 防火墙,这有助于维持稳定的 IPv6 连接。
是否需要入站和出站?
是的,稳定的 IPv6 连接需要入站和出站规则。入站规则允许传入的 IPv6 数据包到达您的设备,而出站规则允许您的设备将 IPv6 数据包发送到网络上的其他设备。如果没有任何一组规则,您的设备可能无法建立和维持 IPv6 连接。因此,建议在您的“核心网络”规则集中同时包含入站和出站规则。
这些规则使用起来是否安全,或者它们会带来安全风险?
Windows Defender 防火墙中包含的“核心网络”规则集旨在允许正常网络操作所需的基本网络流量,如果使用得当,它不会带来重大的安全风险。但是,请记住,只要您打开端口或允许网络流量通过防火墙,就会增加系统的攻击面,这可能会使其更容易受到某些类型的攻击。因此,仔细评估和了解添加任何新防火墙规则(包括“核心网络”规则集中包含的规则)的安全影响非常重要。您还应确保已采取足够的安全措施,例如使用最新的防病毒软件、保持操作系统和应用程序的修补以及遵循安全的浏览和电子邮件习惯。
您能为我的系统管理员总结一下吗?
- Windows Defender 防火墙中的“核心网络”规则集包含网络通信的基本规则,其中包括与 IPv6 连接相关的规则。
- 稳定的 IPv6 连接需要入站和出站规则,因为它们允许传入的 IPv6 数据包到达您的设备并允许您的设备将 IPv6 数据包发送到网络上的其他设备。
- 虽然如果使用得当,添加“核心网络”规则集不会带来重大的安全风险,但重要的是评估添加任何新防火墙规则的安全影响,并确保您已采取足够的安全措施,例如使用最新的防病毒软件、保持操作系统和应用程序修补,并遵循安全浏览和电子邮件习惯。