Я хотел бы переключиться с частного IPv4-подсети за NAT на IPv6, но, конечно, у меня нет намерения подвергать рабочие станции моих пользователей «незащищенными» в сети.
Некоторые очевидные моменты впереди:
Есть ли в рекомендациях по настройке брандмауэра подробности и опыт использования таких настроек?
Совет в значительной степени не изменился по сравнению с настройками общедоступного IPv4-подсети за брандмауэром, которые мы использовали в пространстве .EDU с самого начала коммерческого Интернета. С самого начала выделения подсети .EDU были довольно щедрыми (в моей старой работе было выделение IPv4 / 16, и я знаю другое учреждение нашего размера, которое имеет / 16 и еще одно / 18 для хорошей оценки), эти учреждения имеют большой опыт защиты общедоступных IP-адресов. адреса за межсетевыми экранами. Черт возьми, именно эту настройку имели в виду первоначальные создатели IP.
Принципы (по памяти):
Я знаю, что это короткий список. Но основной принцип брандмауэра, существующий 20 лет назад, тот же: разрешить доступ только к тем комбинациям IP: порт, которые вы хотите разрешить, запретить все остальное.
Если ваши правила до сих пор состояли из «только трафика, инициируемого внутренне» (NAT) с некоторыми исключениями для опубликованных служб (переадресация портов), вы можете придерживаться этого и просто передать его на IPv6.
У вас будут дополнительные последствия с возможностями туннелирования и шифрования, которые поставляются с v6, которые вы захотите решить, но в целом все, что применялось к v4, по-прежнему применимо к v6. Рекомендуемая литература: Создание межсетевых экранов Интернета (Цвикки, Купер, Чепмен).
Помимо ответов здесь, вы должны проверить RFC 4890 в котором содержится много информации, необходимой вам для понимания ICMP6 через брандмауэры. Также см. Google Информационный центр IPv6