作为一名系统管理员,我对 IPv4 相当熟悉。因此,我可以轻松地配置防火墙,以便使用公共 IPv4 地址将服务器/服务暴露给互联网。
我有一个对 IPv6 地址的基本了解和IPv6 中的名称解析。另外,我了解到我可以像 IPv4 一样使用 TCP、UDP 和 ICMP,只是使用“更长的地址”,而且由于地址丰富,NAT 不再是必要的也不推荐(使得正确配置的防火墙规则变得更加重要)。
到目前为止,我还没有为我们的公共网络服务启用 IPv6,因为 (a) 没有必要(说实话,现在仍然没有必要)和 (b) 我缺乏使用 IPv4 的多年经验,这让我不太有信心能够在不打开一些巨大的安全漏洞的情况下做到这一点。然而,现在是 2022 年了,无法使用 IPv6 感觉有点尴尬,如果我不开始,我将无法获得多年的经验。
简而言之,我的问题是:我能否利用我的 IPv4 知识(以及上面提到的基础知识)通过 IPv6 安全地向公众提供互联网服务,或者我还应该先了解一些其他主题吗?在“扳动开关”之前?
答案1
我能否利用我的 IPv4 知识(以及上面提到的基础知识)通过 IPv6 安全地向公众提供互联网服务
是的,确实如此。
然而,在扳动开关对于 IPv6 地址系列:默认情况下,IPv6 使用公共地址前缀,因此您可以考虑使用唯一本地(RFC 4193)路由器后面的任何私有 LAN(如果有)的前缀。
对于公共 WAN 连接的服务器 - 嗯,适用相同的安全/数据包过滤措施。