是否已有推荐的 IPv6 防火墙设置？

Question 1

自商业互联网诞生以来，我们在 .EDU 领域一直采用的公共 IPv4 子网防火墙设置与此建议基本一致。由于早期的 .EDU 子网分配相当慷慨（我以前的工作单位分配了 IPv4 /16，而且我知道另一家与我们规模相当的机构分配了 /16 和另一个 /18），这些机构在保护防火墙后面的公共可路由 IP 地址方面拥有丰富的经验。哎呀，这种设置正是最初的 IP 创建者所考虑的。

原则（根据记忆）：

除非有特定的业务需要，否则不允许外部访问内部 IP 地址（默认拒绝）。
允许 ICMP 到内部地址，因为 IP 协议依靠它来确定网络状况。
- 你的 IPS 配置应该会阻止 Ping 扫描。
- 请记住，仅仅因为一台机器可以 ping 通，并不意味着它是可连接的！
反向 DNS 查找对于某些用例确实很重要，因此请确保它们正常工作。

我知道这只是一个简短的列表。但 20 年前防火墙的基本原则是一样的：只允许那些你想允许的 IP:端口组合访问，拒绝其他一切。

Answer

自商业互联网诞生以来，我们在 .EDU 领域一直采用的公共 IPv4 子网防火墙设置与此建议基本一致。由于早期的 .EDU 子网分配相当慷慨（我以前的工作单位分配了 IPv4 /16，而且我知道另一家与我们规模相当的机构分配了 /16 和另一个 /18），这些机构在保护防火墙后面的公共可路由 IP 地址方面拥有丰富的经验。哎呀，这种设置正是最初的 IP 创建者所考虑的。

原则（根据记忆）：

除非有特定的业务需要，否则不允许外部访问内部 IP 地址（默认拒绝）。
允许 ICMP 到内部地址，因为 IP 协议依靠它来确定网络状况。
- 你的 IPS 配置应该会阻止 Ping 扫描。
- 请记住，仅仅因为一台机器可以 ping 通，并不意味着它是可连接的！
反向 DNS 查找对于某些用例确实很重要，因此请确保它们正常工作。

我知道这只是一个简短的列表。但 20 年前防火墙的基本原则是一样的：只允许那些你想允许的 IP:端口组合访问，拒绝其他一切。

Question 2

如果您迄今为止的规则包括“仅限内部发起的流量”（NAT），但对已发布的服务（端口转发）有一些例外，那么您可以坚持这一点并将其简单地传输到 IPv6。

您将需要解决 v6 附带的隧道和加密功能的其他影响，但一般来说，适用于 v4 的所有内容仍然适用于 v6。推荐阅读：构建互联网防火墙（兹维基、库珀、查普曼）。

Answer

如果您迄今为止的规则包括“仅限内部发起的流量”（NAT），但对已发布的服务（端口转发）有一些例外，那么您可以坚持这一点并将其简单地传输到 IPv6。

您将需要解决 v6 附带的隧道和加密功能的其他影响，但一般来说，适用于 v4 的所有内容仍然适用于 v6。推荐阅读：构建互联网防火墙（兹维基、库珀、查普曼）。

Question 3

除了这里的答案之外，你还应该看看RFC 4890其中概述了您需要了解的有关 ICMP6 通过防火墙的大量信息。另请参阅 Google 的IPv6 信息中心

Answer

除了这里的答案之外，你还应该看看RFC 4890其中概述了您需要了解的有关 ICMP6 通过防火墙的大量信息。另请参阅 Google 的IPv6 信息中心

是否已有推荐的 IPv6 防火墙设置？

答案1

答案2

答案3

相关内容