重複の可能性:
IPv6に切り替えて、NATを取り除く?冗談ですか?
私はほとんどの場合IPv4でファイアウォールを設定するための単一のポイント、主にルーターを持っている方法について考えていますが、誰もがグローバルにアクセス可能なIPアドレスを持っている場合、それは各コンピューターユーザーが基本的に独自のファイアウォールを管理する責任がありますか?
(つまり、同じことが公共のwifiアクセスポイントを使用する場合にも当てはまることを認めますが、それでも...)
IPv6はNATを排除します。これは確かに、内部ホストからインターネットへのサービスの偶発的な公開を回避する大きな部分を占めてきました。そのため、そうです、そうです、それはほとんどすべての人が物事を行う方法への変化です。
ただし、それでもネットワークエッジに中央ファイアウォールが存在しないという意味ではありません。変更点は、ファイアウォール/ NATデバイスではなく純粋なファイアウォールとして機能することだけです。サービスを誤って公開しないようにするのは、これらのファイアウォールを管理する担当者次第です。拒否ルールを起動します!
NATを取り除くことは、ネットワークセキュリティの慣行に大きな変化をもたらすものであり、ファイアウォールとIPv6の設定ミスによる偶発的な情報漏えいの違反について耳にするのはいつの間にか確かにあります。しかし、NATは常にハッキングであり、ファイアウォールをそれらの接続すべての追跡から外し、ステートレスプロトコルとポート変換の偽の接続を追跡することは、長期的には良いことです。私に良い!
いいえ、それは悪夢ではありません。 NATおよびプライベートアドレスはセキュリティ上の理由から作成されませんでした。IPv4アドレスが不足しているために作成されました。
パブリックIPの使用は恐ろしいように思えますが、セキュリティのためには、NATではなくファイアウォールを信頼する必要があります。
この同じ点について サーバーの障害に関するこの別の質問 をお読みください。 NATセキュリティが変更されたため、2010年10月下旬にPCI-DSS標準が修正され、NAT削除されました(v1.2のセクション1.3.8)。
その恐れを止めなければ、Windows 7 Direct Accessのような信じられないほどのテクノロジーのすべての利点を得ることができません。
すべてのコンピュータは、すでに独自のファイアウォールを管理する責任があります。
つまり、NATを緩めたからといって、すべての利点が失われたことを意味するわけではありません(NATを使用できます)。ルーターやその他のファイアウォールルールも、ipv4と同様の方法で追加できます。
唯一の違いは、プライベートネットワーク内から正確なコンピューターを識別できる場合があり、問題がある場合はNATをインストールできることです。
ランダムポートスキャンなどをブロックすることは依然として可能です。
この質問は、NATが誤ってセキュリティを提供するため、ファイアウォールテクノロジーであるという一般的な誤解に基づいています。この誤解は、単純な思考実験で解決できます。IPv4を想像してくださいNATクライアントが1つしかないボックス。必要に応じて、そのクライアントにallインバウンドトラフィックを転送し、-nothingをフィルタリングして、セキュリティを提供することはできません。では、なぜそれを心配しないのですか。
多くの大学(およびいくつかの大企業)は、すべてのコンピューターに有効でルーティング可能なIPを持っています。これは、ゲートウェイファイアウォールデバイスがないことを意味するものではありません。インターネットからそのデバイスにアクセスできるという意味でもありません。ほとんどの場合、ファイアウォールはデフォルトですべてのトラフィックをブロックするように設定されています。ただし、ファイアウォールがグローバルに一意のアドレス上にあることを保証します。
NATを使用する場合、物事は単純に厄介です... IE、あなたとあなたの顧客の間にVPNをセットアップしたいが、両方に192.168.1.xの内部ネットワークがあります。つまり、NAT natted接続。別の内部専用IPのように見せるため、急いで物事が醜くなります(VPNを使用している他の5つの会社でそれをしなければなりません)