Já existe uma configuration recomendado do Firewall IPv6?

Gostairia de mudair de private-IPv4-subnet-behind-NAT paira IPv6, mas é clairo que não tenho a intenção de expor as estações de trabalho de meus users "desprotegidas" à networking.

Alguns pontos óbvios antecipados:

  • Permitir access a services prestados
  • Negair o access às estações de trabalho

Existe uma diretriz recomendada paira a configuration do firewall que fala sobre detalhes e experiências com tais configurações?

3 Solutions collect form web for “Já existe uma configuration recomendado do Firewall IPv6?”

O conselho é praticamente inalterado das configurações public-IPv4-subnet-behind-Firewall que tivemos no espaço .EDU desde o início da Internet comercial. Desde o início. As alocações de sub-networking de EDU foram bastante generosas (meu antigo trabalho tem uma alocação de IPv4 / 16 e eu conheço outra instituição com nosso tamanho que tem um / 16 e outro / 18 paira uma boa medida), essas instituições têm uma profunda experiência na proteção do IP direcionável publicamente aborda por trás de firewalls. Heck, essa configuration era o que os criadores de IP originais tinham em mente.

Os princípios (da memory):

  • Não permita o access externo aos endereços IP internos, a less que exista uma necessidade comercial específica (negação padrão).
  • Permitir ICMP paira endereços internos, pois os protocolos IP dependem dele paira determinair as condições da networking.
    • Os ping-sweeps devem ser bloqueados pela configuration IPS.
    • Tenha em mente que apenas porque uma máquina em ping-able, não significa que seja conectável!
  • As searchs de DNS reviewsas são importantes paira alguns casos de uso, então fique certo de que eles estão funcionando corretamente.

Uma list curta, eu sei. Mas o princípio básico do firewall que retorna aos 20 anos é o mesmo: permita o access apenas às IP: combinações de portas que você quer permitir, negair tudo o resto.

Se suas regras até então consistiam em "apenas tráfego iniciado internamente" (NAT) com algumas exceções paira services publicados (encaminhamento de porta), você pode manter isso e simplesmente transferi-lo paira o IPv6.

Você terá implicações adicionais com os resources de tunelamento e encryption que vêm com a v6, que você deseja abordair, mas, em geral, tudo o que se aplica à v4 ainda se aplica a v6. Leitura recomendada: Construindo Firewalls na Internet (Zwicky, Cooper, Chapman).

Além das respostas aqui, você deve viewificair RFC 4890 que descreve uma grande quantidade de informações que você precisa entender sobre ICMP6 através de firewalls. Veja também o Centro de Informações IPv6 do Google