Назад | Перейти на главную страницу

Есть ли уже рекомендованная настройка брандмауэра IPv6?

Я хотел бы переключиться с частного IPv4-подсети за NAT на IPv6, но, конечно, у меня нет намерения подвергать рабочие станции моих пользователей «незащищенными» в сети.

Некоторые очевидные моменты впереди:

Есть ли в рекомендациях по настройке брандмауэра подробности и опыт использования таких настроек?

Совет в значительной степени не изменился по сравнению с настройками общедоступного IPv4-подсети за брандмауэром, которые мы использовали в пространстве .EDU с самого начала коммерческого Интернета. С самого начала выделения подсети .EDU были довольно щедрыми (в моей старой работе было выделение IPv4 / 16, и я знаю другое учреждение нашего размера, которое имеет / 16 и еще одно / 18 для хорошей оценки), эти учреждения имеют большой опыт защиты общедоступных IP-адресов. адреса за межсетевыми экранами. Черт возьми, именно эту настройку имели в виду первоначальные создатели IP.

Принципы (по памяти):

  • Не разрешайте внешний доступ к внутренним IP-адресам, если нет особой деловой необходимости (по умолчанию - запретить).
  • Разрешить ICMP для внутренних адресов, поскольку IP-протоколы полагаются на него для определения состояния сети.
    • Ping-sweep должны быть заблокированы вашей конфигурацией IPS.
    • Имейте в виду, что то, что машина находится в состоянии ping, не означает, что она может быть подключена!
  • Обратный поиск DNS имеет значение для некоторых сценариев использования, поэтому убедитесь, что они работают правильно.

Я знаю, что это короткий список. Но основной принцип брандмауэра, существующий 20 лет назад, тот же: разрешить доступ только к тем комбинациям IP: порт, которые вы хотите разрешить, запретить все остальное.

Если ваши правила до сих пор состояли из «только трафика, инициируемого внутренне» (NAT) с некоторыми исключениями для опубликованных служб (переадресация портов), вы можете придерживаться этого и просто передать его на IPv6.

У вас будут дополнительные последствия с возможностями туннелирования и шифрования, которые поставляются с v6, которые вы захотите решить, но в целом все, что применялось к v4, по-прежнему применимо к v6. Рекомендуемая литература: Создание межсетевых экранов Интернета (Цвикки, Купер, Чепмен).

Помимо ответов здесь, вы должны проверить RFC 4890 в котором содержится много информации, необходимой вам для понимания ICMP6 через брандмауэры. Также см. Google Информационный центр IPv6