切换到 IPv6 意味着放弃 NAT。这是好事吗？

Question 1

首先，只要您的安全设备配置正确，就不必担心使用公共 IP 分配。

如果我们没有物理上独立的网络，我应该用什么来替代 NAT？

自 20 世纪 80 年代以来，我们一直使用路由器和防火墙来物理隔离它们。NAT 带来的一大安全优势是它会强制您进入默认拒绝配置。为了任何通过它提供服务，你必须明确地打孔。更高级的设备甚至允许您将基于 IP 的 ACL 应用于这些孔，就像防火墙一样。实际上，可能是因为它们的盒子上有“防火墙”字样。

正确配置的防火墙提供与 NAT 网关完全相同的服务。NAT 网关之所以被频繁使用，是因为它们更轻松进入比大多数防火墙更安全的配置。

我听说 IPv6 和 IPSEC 应该以某种方式使所有这些都变得安全，但如果没有物理上分离的网络使这些设备在互联网上不可见，我真的看不出来。

这是一个误解。我所在的大学分配了 /16 IPv4，我们绝大多数的 IP 地址都用在了公共分配上。当然，我们所有的终端用户工作站和打印机都是如此。我们的 RFC1918 消耗仅限于需要此类地址的网络设备和某些特定服务器。如果您刚才打了个寒颤，我一点也不惊讶，因为当我第一天上班，看到显示器上写着我的 IP 地址的便签时，我确实打了个寒颤。

然而，我们还是活了下来。为什么？因为我们有一个配置为默认拒绝的外部防火墙，ICMP 吞吐量有限。虽然 140.160.123.45 理论上是可路由的，但并不意味着您可以从公共互联网上的任何地方到达那里。这就是防火墙的设计目的。

只要路由器配置正确，我们分配的不同子网之间就可以完全无法访问。您可以在路由器表或防火墙中执行此操作。这是一个独立的网络，过去我们的安全审计员对此感到满意。

我绝对不会把我们的账单数据库（包含大量信用卡信息！）放到互联网上供大家查看。

我们的计费数据库位于公共 IPv4 地址上，并且自成立以来一直如此，但我们有证据表明您无法从这里访问该数据库。仅仅因为某个地址位于公共 v4 可路由列表中并不意味着它一定会被传送。互联网的邪恶势力和实际数据库端口之间的两道防火墙会过滤掉邪恶势力。即使从我的办公桌上，在第一道防火墙后面，我也无法访问该数据库。

信用卡信息是一个特殊情况。它受 PCI-DSS 标准的约束，标准直接规定包含此类数据的服务器必须位于 NAT 网关¹之后。我们的服务器就是如此，这三台服务器代表了我们对 RFC1918 地址的总服务器使用量。它不会增加任何安全性，只是增加了一层复杂性，但我们需要选中该复选框以进行审计。

最初的“IPv6 让 NAT 成为过去”的想法是在互联网热潮真正全面进入主流之前提出的。1995 年，NAT 是一种绕过小 IP 分配的变通方法。2005 年，它被载入许多安全最佳实践文档和至少一个主要标准（具体来说是 PCI-DSS）。NAT 带来的唯一具体好处是，在网络上执行侦察的外部实体不知道 NAT 设备背后的 IP 环境是什么样的（尽管由于 RFC1918，他们可以很好地猜测），而在无 NAT 的 IPv4（例如我的工作）上并非如此。这是纵深防御的一小步，而不是一大步。

RFC1918 地址的替代品是所谓的唯一本地地址。与 RFC1918 一样，除非对等方明确同意让它们路由，否则它们不会路由。与 RFC1918 不同，它们（可能）是全球唯一的。将 ULA 转换为全球 IP 的 IPv6 地址转换器确实存在于更高范围的外围设备中，但绝对不存在于 SOHO 设备中。

有了公共 IP 地址，您就可以安然无恙。只需记住“公共”并不保证“可访问”，您就可以安然无恙。

2017 年更新

在过去的几个月里，亚马逊亚马逊已经添加了 IPv6 支持。它刚刚被添加到他们的亚马逊-vpc提供的内容及其实施为如何进行大规模部署提供了一些线索。

您被分配了 /56（256 个子网）。
分配是一个完全可路由的子网。
您需要设置防火墙规则（安全组) 适当限制。
没有 NAT，甚至没有提供，所以所有出站流量都将来自实例的实际 IP 地址。

为了重新添加 NAT 的安全优势之一，他们现在提供仅出口互联网网关. 这提供了一个类似 NAT 的好处：

其后面的子网不能直接从互联网访问。

它提供了一层纵深防御，以防配置错误的防火墙规则意外允许入站流量。

此产品不会像 NAT 那样将内部地址转换为单个地址。出站流量仍将具有打开连接的实例的源 IP。希望将 VPC 中的资源列入白名单的防火墙运营商最好将网络块列入白名单，而不是将特定 IP 地址列入白名单。

可路由并不总是意味着可达。

¹：PCI-DSS 标准于 2010 年 10 月发生了变化，强制使用 RFC1918 地址的声明被删除，并由“网络隔离”取而代之。

Answer

首先，只要您的安全设备配置正确，就不必担心使用公共 IP 分配。

如果我们没有物理上独立的网络，我应该用什么来替代 NAT？

自 20 世纪 80 年代以来，我们一直使用路由器和防火墙来物理隔离它们。NAT 带来的一大安全优势是它会强制您进入默认拒绝配置。为了任何通过它提供服务，你必须明确地打孔。更高级的设备甚至允许您将基于 IP 的 ACL 应用于这些孔，就像防火墙一样。实际上，可能是因为它们的盒子上有“防火墙”字样。

正确配置的防火墙提供与 NAT 网关完全相同的服务。NAT 网关之所以被频繁使用，是因为它们更轻松进入比大多数防火墙更安全的配置。

我听说 IPv6 和 IPSEC 应该以某种方式使所有这些都变得安全，但如果没有物理上分离的网络使这些设备在互联网上不可见，我真的看不出来。

这是一个误解。我所在的大学分配了 /16 IPv4，我们绝大多数的 IP 地址都用在了公共分配上。当然，我们所有的终端用户工作站和打印机都是如此。我们的 RFC1918 消耗仅限于需要此类地址的网络设备和某些特定服务器。如果您刚才打了个寒颤，我一点也不惊讶，因为当我第一天上班，看到显示器上写着我的 IP 地址的便签时，我确实打了个寒颤。

然而，我们还是活了下来。为什么？因为我们有一个配置为默认拒绝的外部防火墙，ICMP 吞吐量有限。虽然 140.160.123.45 理论上是可路由的，但并不意味着您可以从公共互联网上的任何地方到达那里。这就是防火墙的设计目的。

只要路由器配置正确，我们分配的不同子网之间就可以完全无法访问。您可以在路由器表或防火墙中执行此操作。这是一个独立的网络，过去我们的安全审计员对此感到满意。

我绝对不会把我们的账单数据库（包含大量信用卡信息！）放到互联网上供大家查看。

我们的计费数据库位于公共 IPv4 地址上，并且自成立以来一直如此，但我们有证据表明您无法从这里访问该数据库。仅仅因为某个地址位于公共 v4 可路由列表中并不意味着它一定会被传送。互联网的邪恶势力和实际数据库端口之间的两道防火墙会过滤掉邪恶势力。即使从我的办公桌上，在第一道防火墙后面，我也无法访问该数据库。

信用卡信息是一个特殊情况。它受 PCI-DSS 标准的约束，标准直接规定包含此类数据的服务器必须位于 NAT 网关¹之后。我们的服务器就是如此，这三台服务器代表了我们对 RFC1918 地址的总服务器使用量。它不会增加任何安全性，只是增加了一层复杂性，但我们需要选中该复选框以进行审计。

最初的“IPv6 让 NAT 成为过去”的想法是在互联网热潮真正全面进入主流之前提出的。1995 年，NAT 是一种绕过小 IP 分配的变通方法。2005 年，它被载入许多安全最佳实践文档和至少一个主要标准（具体来说是 PCI-DSS）。NAT 带来的唯一具体好处是，在网络上执行侦察的外部实体不知道 NAT 设备背后的 IP 环境是什么样的（尽管由于 RFC1918，他们可以很好地猜测），而在无 NAT 的 IPv4（例如我的工作）上并非如此。这是纵深防御的一小步，而不是一大步。

RFC1918 地址的替代品是所谓的唯一本地地址。与 RFC1918 一样，除非对等方明确同意让它们路由，否则它们不会路由。与 RFC1918 不同，它们（可能）是全球唯一的。将 ULA 转换为全球 IP 的 IPv6 地址转换器确实存在于更高范围的外围设备中，但绝对不存在于 SOHO 设备中。

有了公共 IP 地址，您就可以安然无恙。只需记住“公共”并不保证“可访问”，您就可以安然无恙。

2017 年更新

在过去的几个月里，亚马逊亚马逊已经添加了 IPv6 支持。它刚刚被添加到他们的亚马逊-vpc提供的内容及其实施为如何进行大规模部署提供了一些线索。

您被分配了 /56（256 个子网）。
分配是一个完全可路由的子网。
您需要设置防火墙规则（安全组) 适当限制。
没有 NAT，甚至没有提供，所以所有出站流量都将来自实例的实际 IP 地址。

为了重新添加 NAT 的安全优势之一，他们现在提供仅出口互联网网关. 这提供了一个类似 NAT 的好处：

其后面的子网不能直接从互联网访问。

它提供了一层纵深防御，以防配置错误的防火墙规则意外允许入站流量。

此产品不会像 NAT 那样将内部地址转换为单个地址。出站流量仍将具有打开连接的实例的源 IP。希望将 VPC 中的资源列入白名单的防火墙运营商最好将网络块列入白名单，而不是将特定 IP 地址列入白名单。

可路由并不总是意味着可达。

¹：PCI-DSS 标准于 2010 年 10 月发生了变化，强制使用 RFC1918 地址的声明被删除，并由“网络隔离”取而代之。

Question 2

我们办公室的 NAT 路由器（旧的 Linksys BEFSR41）不支持 IPv6。任何较新的路由器也不支持

许多路由器都支持 IPv6。但针对消费者和 SOHO 的廉价路由器支持 IPv6 的并不多。最坏的情况是，只需使用 Linux 机器或用 dd-wrt 或其他程序重新刷新路由器即可获得 IPv6 支持。有很多选择，您可能只需要更仔细地寻找。

如果我们要摆脱路由器，把所有东西都直接接入互联网，

过渡到 IPv6 并不意味着您应该放弃外围安全设备，例如路由器/防火墙。路由器和防火墙仍将是几乎每个网络的必需组件。

所有 NAT 路由器都可有效充当状态防火墙。使用 RFC1918 地址来保护您并没有什么神奇之处。状态位才是最难做的。如果您使用的是真实地址或私有地址，正确配置的防火墙也能为您提供同样的保护。

RFC1918 地址为您提供的唯一保护是，它允许人们逃避防火墙配置中的错误/懒惰，但仍然不会那么容易受到攻击。

有一些旧的硬件设备（例如打印机）完全不具备 IPv6 功能。

那么？您不太可能需要在互联网上提供此功能，并且在内部网络上，您可以继续运行 IPv4 和 IPv6，直到所有设备都得到支持或被替换为止。

如果无法运行多种协议，那么您可能必须设置某种网关/代理。

IPSEC 应该以某种方式保证这一切的安全

IPSEC 加密并验证数据包。它与摆脱边界设备无关，并且对传输中的数据有更多保护。

Answer

我们办公室的 NAT 路由器（旧的 Linksys BEFSR41）不支持 IPv6。任何较新的路由器也不支持

许多路由器都支持 IPv6。但针对消费者和 SOHO 的廉价路由器支持 IPv6 的并不多。最坏的情况是，只需使用 Linux 机器或用 dd-wrt 或其他程序重新刷新路由器即可获得 IPv6 支持。有很多选择，您可能只需要更仔细地寻找。

如果我们要摆脱路由器，把所有东西都直接接入互联网，

过渡到 IPv6 并不意味着您应该放弃外围安全设备，例如路由器/防火墙。路由器和防火墙仍将是几乎每个网络的必需组件。

所有 NAT 路由器都可有效充当状态防火墙。使用 RFC1918 地址来保护您并没有什么神奇之处。状态位才是最难做的。如果您使用的是真实地址或私有地址，正确配置的防火墙也能为您提供同样的保护。

RFC1918 地址为您提供的唯一保护是，它允许人们逃避防火墙配置中的错误/懒惰，但仍然不会那么容易受到攻击。

有一些旧的硬件设备（例如打印机）完全不具备 IPv6 功能。

那么？您不太可能需要在互联网上提供此功能，并且在内部网络上，您可以继续运行 IPv4 和 IPv6，直到所有设备都得到支持或被替换为止。

如果无法运行多种协议，那么您可能必须设置某种网关/代理。

IPSEC 应该以某种方式保证这一切的安全

IPSEC 加密并验证数据包。它与摆脱边界设备无关，并且对传输中的数据有更多保护。

Question 3

是的。NAT 已过时。曾经有人试图批准 IPv6 上的 NAT 标准，但都没有成功。

这实际上给试图满足 PCI-DSS 标准的提供商带来了问题，因为该标准实际上规定您必须位于 NAT 之后。

对我来说，这是我听过的最棒的消息之一。我讨厌 NAT，更讨厌运营商级 NAT。

NAT 只不过是一个权宜之计，可以帮助我们在 IPv6 成为标准之前度过难关，但它已经根深蒂固地融入了互联网社会。

对于过渡期，您必须记住，IPv4 和 IPv6 除了名称相似之外，完全不同¹。因此，对于双栈设备：您的 IPv4 将被 NAT，而您的 IPv6 则不会。这几乎就像有两个完全独立的设备，只是包装在一块塑料中。

那么，IPv6 互联网访问是如何工作的呢？好吧，这和 NAT 发明之前互联网的工作方式一样。您的 ISP 将为您分配一个 IP 范围（与现在相同，但他们通常为您分配一个 /32，这意味着您只能获得一个 IP 地址），但您的范围内现在将有数百万个可用的 IP 地址。您可以随意填充这些 IP 地址（使用自动配置或 DHCPv6）。互联网上的任何其他计算机都可以看到这些 IP 地址中的每一个。

听起来很可怕，对吧？你的域控制器、家庭媒体 PC 和藏有色情内容的 iPhone 都可以通过互联网访问？！不，不。这就是防火墙的作用。IPv6 的另一个重要功能是它军队防火墙从“全部允许”方式（大多数家用设备都是这样）变为“全部拒绝”方式，即为特定 IP 地址开放服务。99.999% 的家庭用户会乐意将防火墙保持默认状态并完全锁定，这意味着不允许任何未经请求的流量进入。

¹_{好吧，事情远不止于此，但它们绝不兼容，即使它们都允许在顶层运行相同的协议}

Answer

是的。NAT 已过时。曾经有人试图批准 IPv6 上的 NAT 标准，但都没有成功。

这实际上给试图满足 PCI-DSS 标准的提供商带来了问题，因为该标准实际上规定您必须位于 NAT 之后。

对我来说，这是我听过的最棒的消息之一。我讨厌 NAT，更讨厌运营商级 NAT。

NAT 只不过是一个权宜之计，可以帮助我们在 IPv6 成为标准之前度过难关，但它已经根深蒂固地融入了互联网社会。

对于过渡期，您必须记住，IPv4 和 IPv6 除了名称相似之外，完全不同¹。因此，对于双栈设备：您的 IPv4 将被 NAT，而您的 IPv6 则不会。这几乎就像有两个完全独立的设备，只是包装在一块塑料中。

那么，IPv6 互联网访问是如何工作的呢？好吧，这和 NAT 发明之前互联网的工作方式一样。您的 ISP 将为您分配一个 IP 范围（与现在相同，但他们通常为您分配一个 /32，这意味着您只能获得一个 IP 地址），但您的范围内现在将有数百万个可用的 IP 地址。您可以随意填充这些 IP 地址（使用自动配置或 DHCPv6）。互联网上的任何其他计算机都可以看到这些 IP 地址中的每一个。

听起来很可怕，对吧？你的域控制器、家庭媒体 PC 和藏有色情内容的 iPhone 都可以通过互联网访问？！不，不。这就是防火墙的作用。IPv6 的另一个重要功能是它军队防火墙从“全部允许”方式（大多数家用设备都是这样）变为“全部拒绝”方式，即为特定 IP 地址开放服务。99.999% 的家庭用户会乐意将防火墙保持默认状态并完全锁定，这意味着不允许任何未经请求的流量进入。

¹_{好吧，事情远不止于此，但它们绝不兼容，即使它们都允许在顶层运行相同的协议}

Question 4

关于这个问题，人们有很多困惑，因为网络管理员对 NAT 的看法不同，而小型企业和住宅用户对 NAT 的看法又不同。让我来澄清一下。

静态 NAT（有时称为一对一 NAT）提供完全没有保护适用于您的私人网络或个人电脑。就保护而言，更改 IP 地址毫无意义。

动态过载 NAT/PAT（如大多数住宅网关和 wifi AP 所做的那样）绝对有助于保护您的专用网络和/或 PC。根据设计，这些设备中的 NAT 表是一个状态表。它会跟踪出站请求并将其映射到 NAT 表中 - 连接会在一定时间后超时。默认情况下，任何与 NAT 表中的内容不匹配的未经请求的入站帧都会被丢弃 - NAT 路由器不知道在专用网络中将它们发送到哪里，因此会丢弃它们。这样，您唯一容易受到黑客攻击的设备就是您的路由器。由于大多数安全漏洞都是基于 Windows 的 - 在互联网和 Windows PC 之间安装这样的设备确实有助于保护您的网络。它可能不是最初的预期功能，即节省公共 IP，但它可以完成工作。作为额外奖励，大多数这些设备还具有防火墙功能，默认情况下多次阻止 ICMP 请求，这也有助于保护网络。

鉴于上述信息，在迁移到 IPv6 时使用 NAT 可能会使数百万消费者和小型企业设备面临潜在的黑客攻击。这对企业网络几乎没有影响，因为它们在其边缘拥有专业管理的防火墙。消费者和小型企业网络可能不再在互联网和 PC 之间使用基于 *nix 的 NAT 路由器。没有理由不能切换到仅使用防火墙的解决方案 - 如果部署正确，会更安全，但也超出了 99% 的消费者所理解的范围。动态过载 NAT 只需使用即可提供一定程度的保护 - 插入家用路由器，您就会受到保护。很简单。

话虽如此，没有理由不能以与 IPv4 完全相同的方式使用 NAT。事实上，路由器可以设计为在 WAN 端口上有一个 IPv6 地址，后面有一个 IPv4 专用网络，NAT 会将专用网络连接到该专用网络（例如）。对于消费者和住宅用户来说，这将是一个简单的解决方案。另一种选择是将所有设备都设置为公共 IPv6 IP --- 中间设备可以充当 L2 设备，但提供状态表、数据包检查和功能齐全的防火墙。本质上，没有 NAT，但仍然阻止任何未经请求的入站帧。要记住的重要一点是，您不应该将您的 PC 直接插入没有中间设备的 WAN 连接。除非您想依赖 Windows 防火墙……这是另一个讨论。每个网络，甚至家庭网络，除了使用 Windows 防火墙外，还需要一个保护本地网络的边缘设备。

向 IPv6 迁移的过程中会遇到一些困难，但没有什么问题不能轻易解决。您是否必须抛弃旧的 IPv4 路由器或住宅网关？也许吧，但到时候会有廉价的新解决方案可用。希望许多设备只需要刷新固件。IPv6 能否设计得更无缝地融入当前架构？当然可以，但 IPv6 就是这样，不会消失——所以您不妨学习它、实践它、爱上它。

Answer