Private-IPv4-subnet-behind-NATからIPv6に切り替えたいのですが、もちろん、ユーザーのワークステーションを「保護されていない」状態でネットに公開するつもりはありません。
前もっていくつかの明らかなポイント:
そのようなセットアップの詳細と経験について説明する推奨ファイアウォールセットアップガイドラインはありますか?
アドバイスは、商用インターネットの開始以来、.EDUスペースで行ってきたpublic-IPv4-subnet-behind-Firewallの設定とほとんど変わりません。初期の.EDUサブネットの割り当てはかなり寛大だったので(私の古い仕事にはIPv4/16の割り当てがあり、私たちのサイズの別の機関が16と別の/ 18を適切に持っていることを知っています)、これらの機関は公的にルーティング可能なIPを保護する深い経験がありますファイアウォールの背後にあるアドレス。一体、その設定は元のIP作成者が念頭に置いていたものでした。
原則(記憶から):
短いリスト、私は知っています。ただし、20年前のファイアウォールの基本原則は同じです。許可するIP:ポートの組み合わせにのみアクセスを許可し、それ以外はすべて拒否します。
これまでのルールが「内部で開始されたトラフィックのみ」(NAT)で構成されていて、公開サービス(ポート転送)の一部の例外があった場合は、それに固執してIPv6に転送するだけです。
対処したいv6に付属するトンネリングおよび暗号化機能には追加の影響がありますが、一般に、v4に適用されたものはすべてv6にも適用されます。推奨読書: インターネットファイアウォールの構築 (Zwicky、Cooper、Chapman)。
ここでの回答に加えて、 RFC 4890 をチェックする必要があります。これは、理解する必要のある多くの情報の概要を示しています。ファイアウォールを介したICMP6。 Googleの IPv6情報センター も参照してください