可能重复:
切换到 IPv6 并摆脱 NAT?你在开玩笑吗?
我在考虑在 IPv4 中大多数时候你都有一个单点来配置防火墙,主要是你的路由器,但如果每个人都有一个全局可访问的 IP 地址,这是否意味着每个计算机用户基本上都要负责管理他们自己的防火墙?
(我的意思是,我承认使用公共 WiFi 接入点时情况也是如此,但仍然......)
答案1
IPv6 摆脱了 NAT,这在避免内部主机意外将服务暴露给互联网方面发挥了重要作用。从这个意义上讲,是的,它改变了大多数人做事的方式。
然而,这并不意味着您在网络边缘不再拥有中央防火墙 - 变化只是它将充当纯粹的防火墙,而不是防火墙/NAT 设备。管理这些防火墙的人员只需确保避免意外暴露服务即可;启动拒绝规则!
摆脱 NAT 是网络安全实践的一大变革,不久之后我们肯定会听到一些由于防火墙和 IPv6 配置错误而导致的意外信息泄露事件。但 NAT 一直是一种黑客行为,从长远来看,让防火墙不再跟踪所有这些连接以及无状态协议和端口转换的虚假连接将是一件好事 - 复杂性降低对我来说是好事!
答案2
不,这不是噩梦。NAT 和私有地址不是出于安全原因而创建的,而是因为 IPv4 地址已经用完了。
我承认使用公共 IP 看起来很可怕,但为了安全起见,您应该信任您的防火墙,而不是您的 NAT。
读这是有关服务器故障的另一个问题关于这一点。很多将 NAT 作为安全措施的标准都发生了变化,例如 PCI-DSS 标准在 2010 年 10 月下旬进行了修订,删除了 NAT 要求(v1.2 的第 1.3.8 节)。
如果您不消除这种恐惧,那么您将永远无法享受 Windows 7 Direct Access 等令人难以置信的技术的所有优势。
答案3
每台计算机都应该负责管理自己的防火墙。
也就是说,仅仅因为您失去 NAT 并不意味着您失去了所有的好处(您仍然可以在 ipv6 上使用 NAT)您仍然可以在路由器上拥有状态防火墙,并且可以以与 ipv4 类似的方式添加其他防火墙规则。
唯一的区别是,您可能能够从专用网络中识别出确切的计算机,如果这是一个问题,您可以安装 NAT。
仍然可以阻止路由器的随机端口扫描等
答案4
许多大学(和几家大公司)的每台计算机上都有有效、可路由的 IP。这并不意味着没有网关防火墙设备。也不意味着您可以从互联网访问该设备。大多数情况下,防火墙默认设置为阻止所有流量。但它确实保证了他们的计算机位于全球唯一的地址上。
如果您使用 NAT,事情就会变得很糟糕。例如,您想在您和您的客户之间设置 VPN,但你们都有 192.168.1.x 的内部网络。这意味着,您必须对 NAT 连接进行 NAT,使它们看起来像是不同的内部 IP,这会让事情很快变得糟糕。(我必须对我们有 VPN 的其他 5 家公司这样做)