据我了解,网络地址转换 (NATing) 将随着 IPv6 的出现而消失。我们如何将网络资源与互联网的其他部分隔离开来,只供需要这些资源的用户使用?我特别考虑的是允许远程用户(例如在家办公的用户)访问文件服务器或 VM 主机等内部网络资源。
如今 IPv4 中也出现了类似的情况。在包括我所在的许多大学中,每个网络设备都有一个可公开路由的 IP。我想运行一个文件服务器,但并不希望它公开访问。理想情况下,它也应该有一个公共 IP,这样就不需要 VPN 了。
评论?
答案1
我们如何将网络资源与互联网其他部分需要这些资源的用户隔离开来?
这就是状态防火墙的用途。NAT 提供的隔离实际上只提供了一种虚假的安全感,除了通过隐蔽性实现安全之外,没有任何好处。
话虽如此,尽管在迁移到 IPv6 后 NAT 的需求会大大减少,但它不会很快消失。事实上,无论好坏,NATv6 实现已经存在,并且目前已在各个组织中投入使用。
仅仅因为设备有公共 IP 地址不是意味着它以任何方式都可以公开访问。您的默认防火墙策略应为默认拒绝,然后仅根据需要允许往返特定端口或子网的流量。
答案2
您可以使用唯一本地地址针对不应在公共互联网上提供的资源。ULA 范围是 fc00::/7,位于全局范围 (2000::/3) 之外。
答案3
VPN 的目的不在于绕过 NAT,而在于强制执行身份验证和连接安全。VPN 仍将是安全远程访问的重要组成部分。(也就是说,仅仅因为您有地址空间可以将服务暴露给网络,并不意味着您应该暴露所有内容)
用防火墙将 IPv6 设备与互联网隔离,仅提供对应公开访问的服务的访问权限。需要访问内部资源的用户仍应通过 VPN 接入,并可能应用一组不同的防火墙规则(或仅完全访问内部网络;取决于您的安全策略)。