推奨されるIPv6ファイアウォールの設定はすでにありますか?
Private-IPv4-subnet-behind-NATからIPv6に切り替えたいのですが、もちろん、ユーザーのワークステーションを「保護されていない」状態でネットに公開するつもりはありません。
前もっていくつかの明らかなポイント:
- 提供されたサービスへのアクセスを許可する
- ワークステーションへのアクセスを拒否する
そのようなセットアップの詳細と経験について説明する推奨ファイアウォールセットアップガイドラインはありますか?
アドバイスは、商用インターネットの開始以来、.EDUスペースで行ってきたpublic-IPv4-subnet-behind-Firewallの設定とほとんど変わりません。初期の.EDUサブネットの割り当てはかなり寛大だったので(私の古い仕事にはIPv4/16の割り当てがあり、私たちのサイズの別の機関が16と別の/ 18を適切に持っていることを知っています)、これらの機関は公的にルーティング可能なIPを保護する深い経験がありますファイアウォールの背後にあるアドレス。一体、その設定は元のIP作成者が念頭に置いていたものでした。
原則(記憶から):
- 特定のビジネスニーズがない限り、内部IPアドレスへの外部アクセスを許可しないでください(デフォルトでは拒否)。
- IPプロトコルがネットワーク状態を決定するためにICMPに依存しているため、内部アドレスへのICMPを許可します。
- Ping-sweepsは、IPS構成によってブロックする必要があります。
- マシンがping可能であるからといって、接続可能であるとは限らないことに注意してください。
- 一部のユースケースではDNS逆引き参照が重要になるため、正しく機能していることを確認してください。
短いリスト、私は知っています。ただし、20年前のファイアウォールの基本原則は同じです。許可するIP:ポートの組み合わせにのみアクセスを許可し、それ以外はすべて拒否します。
これまでのルールが「内部で開始されたトラフィックのみ」(NAT)で構成されていて、公開サービス(ポート転送)の一部の例外があった場合は、それに固執してIPv6に転送するだけです。
対処したいv6に付属するトンネリングおよび暗号化機能には追加の影響がありますが、一般に、v4に適用されたものはすべてv6にも適用されます。推奨読書: インターネットファイアウォールの構築 (Zwicky、Cooper、Chapman)。
ここでの回答に加えて、 RFC 4890 をチェックする必要があります。これは、理解する必要のある多くの情報の概要を示しています。ファイアウォールを介したICMP6。 Googleの IPv6情報センター も参照してください