切换到IPv6意味着删除NAT。那是件好事儿吗？

#1 楼

首先，只要您的安全设备配置正确，就不必担心公共IP分配上的问题。



自1980年代以来，我们就一直在物理上将它们分开，路由器和防火墙也是如此。通过NAT获得的一大安全好处是，它迫使您进入默认拒绝配置。为了获得任何服务，您必须明确打孔。先进的设备甚至允许您将基于IP的ACL应用于这些漏洞，就像防火墙一样。实际上，可能是因为它们的包装盒上有“防火墙”。

正确配置的防火墙提供与NAT网关完全相同的服务。 NAT网关之所以被广泛使用是因为它们比大多数防火墙更容易进入安全配置。分离的网络使这些设备无法在Internet上看到，我真的看不出来。


这是一个误解。我为一所拥有/ 16 IPv4分配的大学工作，我们绝大多数IP地址使用都在该公共分配上。当然，我们所有的最终用户工作站和打印机。我们的RFC1918消耗仅限于需要此类地址的网络设备和某些特定服务器。如果您现在只是颤抖，我不会感到惊讶，因为当我出现在第一天，并在监视器上看到带有IP地址的帖子时，我肯定会这么做。生存。为什么？因为我们将外部防火墙配置为使用ICMP吞吐量受限的默认拒绝。仅仅因为140.160.123.45在理论上是可路由的，并不意味着您可以从公共互联网上的任何地方到达那里。这就是防火墙的目的。

给定正确的路由器配置，并且分配中的不同子网可能彼此之间完全无法访问。您可以在路由器表或防火墙中执行此操作。这是一个独立的网络，过去已经使我们的安全审核人员满意。互联网供所有人查看。


我们的计费数据库位于公共IPv4地址上，已经存在了整个时间，但是我们有证据表明您无法从这里到达那里。仅仅因为地址在公共v4可路由列表上并不意味着可以保证将其发送。 Internet的弊端和实际的数据库端口之间的两个防火墙可以过滤掉这些弊端。即使在我的办公桌上，在第一个防火墙之后，我也无法访问该数据库。

信用卡信息是一种特殊情况。这要受PCI-DSS标准的约束，并且该标准直接规定包含此类数据的服务器必须位于NAT网关1的后面。我们是，这三台服务器代表了我们对RFC1918地址的总服务器使用率。它没有增加任何安全性，只是增加了一层复杂性，但是我们需要选中该复选框以进行审计。


最初的“ IPv6使NAT成为过去”的想法是在Internet繁荣真正进入主流之前提出的。在1995年，NAT是解决小型IP分配问题的一种解决方法。在2005年，它被包含在许多安全性最佳实践文档中，并且至少包含一个主要标准（具体来说是PCI-DSS）。 NAT带来的唯一具体好处是，在网络上执行侦察的外部实体不知道NAT设备后面的IP情况（尽管有了RFC1918，他们有一个很好的猜测），以及不使用NAT的IPv4作为我的工作）并非如此。这是深度防御中的一小步，而不是大步。

RFC1918地址的替代物称为唯一本地地址。像RFC1918一样，除非对等方明确同意允许他们路由，否则它们不会路由。与RFC1918不同，它们在全球范围内是唯一的。可以将ULA转换为全球IP的IPv6地址转换器确实存在于更高范围的外围设备中，但绝对不在SOHO设备中。

只要拥有公共IP地址，您就可以生存。请记住，“公开”并不能保证“可达”，您会没事的。


2017年更新

在过去的几个月中， Amazon aws已添加了IPv6支持。它刚刚被添加到了他们的amazon-vpc产品中，并且它们的实现为预期完成大规模部署提供了一些线索。 256个子网）。
分配是一个可完全路由的子网。
您应该对防火墙规则（安全组）进行适当的限制。
没有NAT，甚至没有提供，因此所有出站流量都将来自实例的实际IP地址。

为了增加NAT的安全性优势之一，它们现在提供了仅出口的Internet网关。这提供了类似NAT的好处：


它后面的子网不能直接从Internet访问。

其中提供了一层防御深度，以防万一配置错误的防火墙规则意外允许入站流量。

此产品不会像NAT那样将内部地址转换为单个地址。出站流量仍将具有打开连接的实例的源IP。希望将VPC中的资源列入白名单的防火墙操作员最好将网络块列入白名单，而不是将特定IP地址列入白名单。

可路由并不总是意味着可访问。1：PCI-DSS标准在2010年10月进行了更改，删除了要求RFC1918地址的声明，并用“网络隔离”代替了它。

#2 楼

我们的办公室NAT路由器（旧的Linksys
BEFSR41）不支持IPv6。也没有
任何新的路由器



许多路由器都支持IPv6。只是没有那么多针对消费者和SOHO的廉价产品。最坏的情况是，只需使用Linux机顶盒或用dd-wrt或其他方式重新刷新路由器即可获得IPv6支持。有很多选择，您可能只需要加倍努力。


如果我们只是想摆脱此路由器，直接将所有东西插入连接互联网，


关于向IPv6过渡的任何建议都没有建议您摆脱外围安全设备，例如路由器/防火墙。路由器和防火墙仍将是几乎每个网络中必不可少的组件。

所有NAT路由器实际上都可以用作状态防火墙。 RFC1918地址的使用可以保护您这么多，这没有什么神奇的。努力工作是有状态的。如果您使用的是真实地址或私有地址，则正确配置的防火墙同样可以为您提供保护。

您从RFC1918地址获得的唯一保护是，它使人们可以摆脱防火墙配置中的错误/懒惰，并且仍然不会那么脆弱。 >有些旧的硬件设备（例如打印机）根本没有IPv6功能。

如果运行，几乎不可能需要通过Internet以及在内部网络上使它可用，就可以继续运行I​​Pv4和IPv6，直到所有设备得到支持或替换。您可能不必设置多种协议来设置多种网关/代理。


IPSEC应该以某种方式使所有这些安全> IPSEC加密并验证数据包。它与摆脱边界设备无关，并且可以更保护传输中的数据。

#3 楼

是。 NAT已死。已经进行了一些尝试来批准IPv6上的NAT标准，但都没有成功。实际上声明您必须在NAT后面。

对我来说，这是我听过的最精彩的消息。我讨厌NAT，甚至更讨厌电信级的NAT。

在过渡期间，您必须记住，IPv4和IPv6除了名称相似外，完全不同。1.因此，双栈设备将对您的IPv4进行NAT，而IPv6将不会。几乎就像有两个完全独立的设备，只是包装在一块塑料中一样。

那么，IPv6互联网访问如何工作？嗯，在发明NAT之前，互联网曾经的工作方式。您的ISP将为您分配一个IP范围（与现在相同，但通常为您分配一个/ 32，这意味着您仅获得一个IP地址），但是您的范围现在将具有数百万个可用IP地址。您可以随意填充这些IP地址（使用自动配置或DHCPv6）。这些IP地址中的每个IP地址都可以从Internet上的任何其他计算机上看到。

听起来很恐怖，对吧？您的域控制器，家庭媒体PC和带有隐藏色情内容的iPhone都可以通过互联网访问了！好吧，不。这就是防火墙的用途。 IPv6的另一个重要功能是，它可以将防火墙从“允许所有”方法（就像大多数家用设备一样）强制转换为“拒绝全部”方法，在此方法中您可以为特定IP地址打开服务。 99.999％的家庭用户会很乐意将其防火墙设置为默认并完全锁定，这意味着不允许未经许可的流量进入。

1好吧，除此之外，还有很多其他方法，尽管它们都允许在顶部运行相同的协议，但它们彼此之间并不兼容。

#4 楼

众所周知，NAT的PCI-DSS要求是安全领域，而不是实际的安全性。

最新的PCI-DSS不再要求将NAT称为绝对要求。许多组织通过了不带NAT的IPv4的PCI-DSS审核，显示有状态防火墙是“等效的安全实现”。使得事件调查/缓解变得更加困难，对NAT（无论是否使用PAT）进行更深入的研究将对网络安全产生负面影响。在IPv6世界中。在IPv4中，为了节省地址，必须容忍NAT。

#5 楼

（很不幸）要过一会儿，您才能摆脱单栈IPv6网络。在此之前，运行优先选择IPv6的双协议栈是一种运行方式。例如，带有dd-wrt的Linksys WRT54G等）。此外，许多企业级设备（Cisco，Juniper）都支持IPv6开箱即用。 ）使用其他形式的NAT，以及不使用NAT的防火墙；一旦Internet变为仅IPv6，防火墙仍将阻止内部服务的公开。同样，具有一对一NAT的IPv4系统也不会自动受到保护。这就是防火墙策略的工作。

#6 楼

如果NAT在IPv6世界中生存下来，则很可能是1：1 NAT。一种在IPv4空间中从未见过的NAT形式。什么是1：1 NAT？这是全局地址到本地地址的1：1转换。等效于IPv4的情况是将所有到1.1.1.2的连接仅转换为10.1.1.2，以此类推，对于整个1.0.0.0/8空间。 IPv6版本将是将全局地址转换为唯一本地地址。

通过频繁地旋转不需要的地址的映射（例如内部办公室用户浏览Facebook），可以提供增强的安全性。在内部，您的ULA编号保持不变，因此您的水平分割DNS可以继续正常运行，但是在外部，客户端永远不会处于可预测的端口上。它带来的麻烦的安全性。扫描IPv6子网是一项非常艰巨的任务，如果不对如何在这些子网中分配IP地址进行任何检查（MAC生成方法？随机方法？人类可读地址的静态分配？），就不可能进行扫描。

在大多数情况下，将发生的事情是，公司防火墙后面的客户端将获得一个全局地址，也许是一个ULA，并且外围防火墙将被设置为拒绝与之建立任何形式的所有传入连接地址。出于所有目的和目的，这些地址是无法从外部访问的。内部客户端启动连接后，将允许通过该连接的数据包。将IP地址更改为完全不同的地址的方法是通过迫使攻击者通过该子网中2 ^ 64个可能的地址来解决的。

#7 楼

由于网络管理员从一个角度看待NAT，而小型企业和住宅客户却从另一个角度看，在这个问题上有很多困惑。让我澄清一下。

静态NAT（有时称为一对一NAT）绝对不能为您的专用网络或单个PC提供保护。就保护而言，更改IP地址毫无意义。通过设计，这些设备中的NAT表是状态表。它跟踪出站请求并将其映射到NAT表中-连接在一定时间后超时。默认情况下，任何与NAT表中的内容不匹配的未经请求的入站帧都会被丢弃-NAT路由器不知道在专用网络中将其发送到何处，因此会丢弃它们。这样，您留下的唯一容易受到黑客攻击的设备就是路由器。由于大多数安全漏洞利用都是基于Windows的，因此在互联网和Windows PC之间安装这样的设备确实有助于保护您的网络。它可能不是最初打算使用的功能，它可以节省公共IP，但是可以完成工作。另外，这些设备中的大多数设备还具有防火墙功能，默认情况下会多次阻止ICMP请求，这也有助于保护网络。

根据上述信息，在转移到IPv6时使用NAT处理可能会使数百万个消费者和小型企业设备遭受潜在的黑客攻击。由于企业网络边缘具有专业管理的防火墙，因此对企业网络几乎没有影响。消费者和小型企业网络可能在Internet和其PC之间不再具有基于* nix的NAT路由器。没有理由人们不能切换到仅防火墙解决方案-如果部署正确会更安全，但也超出了99％的消费者理解如何做的范围。仅使用动态重载NAT即可提供少量保护-插入住宅路由器即可保护您。容易。

这就是说，没有理由不能完全按照在IPv4中使用NAT的方式来使用NAT。实际上，可以将路由器设计为在WAN端口上具有一个IPv6地址，并在其后方具有一个NAT的IPv4专用网络。对于消费者和居民来说，这将是一个简单的解决方案。另一个选择是将所有具有公共IPv6 IP的设备置于中间设备，然后该中间设备可以充当L2设备，但提供状态表，数据包检查和功能齐全的防火墙。本质上，没有NAT，但仍然阻止了任何未经请求的入站帧。要记住的重要一点是，不要在没有中间设备的情况下将PC直接插入WAN连接。除非您当然要依赖Windows防火墙。 。 。那是另一回事。除使用Windows防火墙外，每个网络，甚至家庭网络，都需要保护局域网的边缘设备。

过渡到IPv6会遇到一些麻烦，但是没有任何问题不能轻易解决。您是否必须放弃旧的IPv4路由器或住宅网关？也许可以，但是到时候会有便宜的新解决方案可用。希望许多设备仅需要固件闪存。是否可以将IPv6设计为更无缝地适合当前架构？当然可以，但它不会消失，所以您不如学习，生活，爱它。

#8 楼

RFC 4864描述了IPv6本地网络保护，这是一套在IPv6环境中提供NAT的明显好处的方法，而无需实际使用NAT。可以组合在IPv6站点上以保护其网络体系结构完整性的技术。这些技术统称为“本地网络保护”，保留了专用网络“内部”和“外部”之间的界限分明的概念，并允许防火墙，拓扑隐藏和隐私。但是，由于它们在需要的地方保留了地址透明性，因此可以实现这些目标而没有地址转换的缺点。因此，IPv6中的本地网络保护可以提供IPv4网络地址转换的好处，而没有相应的缺点。 ），然后介绍可用于提供这些相同好处的IPv6功能。它还提供了实施说明和案例研究。

虽然在此处转载时间太长，但所讨论的好处是： “外部”
状态防火墙
用户/应用程序跟踪
隐私和拓扑隐藏
专用网络中地址的独立控制
多宿主/重编号

这几乎涵盖了可能需要NAT的所有情况，并提供了在没有NAT的IPv6中实现它们的解决方案。

您将使用的一些技术是： br />
唯一的本地地址：在内部网络上优先使用这些地址，以保持内部通信的内部状态，并确保即使ISP中断，内部通信也可以继续。
IPv6隐私扩展，具有较短的地址生存期和结构清晰的接口标识符：有助于防止攻击单个主机和子网扫描。
IGP，移动IPv6或VLAN可用于隐藏内部网络的拓扑。 >与ULA一样，ISP的DHCP-PD使重编号/多宿主比IPv4更加容易。

。）

有关IPv6过渡安全性的更一般性讨论，请参阅RFC4942。

#9 楼

有点儿。实际上，IPv6地址有不同的“类型”。最接近RFC 1918（10 / 8、172.16 / 12、192.168 / 16）的地址称为“唯一本地地址”，并在RFC 4193中定义：

http://en.wikipedia.org/ Wiki / Unique_local_address

所以从fd00 :: / 8开始，然后添加40位字符串（使用RFC中的预定义算法！），最后得到伪随机/ 48前缀，应该是全局唯一的。您可以根据需要分配其余的地址空间。

还应该在（IPv6）路由器上阻止fd00 :: / 7（fc00 :: / 8和fd00 :: / 8）到组织外部-因此地址名称中的“本地”。这些地址虽然位于全局地址空间中，但不应仅通过您的“组织”访问整个世界。内部IPv6主机，则应为公司生成ULA前缀，并将其用于此目的。如果需要，您可以像使用其他任何前缀一样使用IPv6的自动配置。

鉴于IPv6的设计目的是使主机可以具有多个地址，一台计算机除了ULA之外还可以具有一个全局地址。可路由地址。因此，需要与外部和内部机器通信的Web服务器可以同时具有ISP分配的预地址和您的ULA前缀。

如果您想要类似NAT的功能，则可以还要看看NAT66，但总的来说，我会围绕ULA进行架构设计。如果您还有其他疑问，可以查看“ ipv6-ops”邮件列表。

#10 楼

恕我直言：不是。

仍有一些地方可以使用SNAT / DNAT。例如，某些服务器已移至另一个网络，但我们不希望/我们无法更改应用程序的IP。

#11 楼

希望NAT将永远消失。仅当IP地址稀缺且没有状态防火墙无法提供更好，更便宜且更容易管理的安全功能时，此功能才有用。可以摆脱NAT这个丑陋的世界。

#12 楼

对于IPv6的NAT丢失（如果确实消失了）如何影响用户隐私，我还没有一个明确的答案。

公开显示单个设备的IP地址，网络服务将更易于监视（随时间，空间和站点聚集，存储，汇总，并促进大量二次使用）您的旅行通过各种设备访问互联网。除非... ISP，路由器和其他设备使动态IPv6地址成为可能且容易，但动态IPv6地址可以针对每个设备频繁更改。

当然，不管我们仍然遇到静态wi-fi MAC地址公开的问题，但这是另一回事...

#13 楼

在V4到V6过渡方案中，有许多支持NAT的方案。但是，如果您拥有全IPV6网络并连接到上游IPV6提供程序，则NAT不会成为新的世界秩序的一部分，除非您可以在V4网络之间通过V6网络建立隧道。

思科具有有关4to6方案，迁移和隧道的大量常规信息。

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http：// www .cisco.com / en / US / docs / ios / ipv6 / configuration / guide / ip6-tunnel.html

也在Wikipedia上：

https：// secure。 wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

#14 楼

政治和基本的商业惯例很可能会促进NAT的存在。过多的IPv6地址意味着ISP倾向于按设备收费或将连接限制为有限数量的设备。请参阅/上的最新文章。例如：

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

#15 楼

仅供参考，任何有兴趣的人都可以将NAT / NAPT与IPV6一起使用。所有具有PF的BSD操作系统都支持NAT66。效果很好。在博客中，我们使用了以下内容：FreeBSD pf的
ipv6 nat（nat66）
，尽管nat66仍处于起草阶段，但FreeBSD pf早就支持它了。 pf.conf并插入以下代码）

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

一切都准备好了！一个IP地址多年。使用IPv6 NAT，我可以获得2 ^ 120个私有地址（本地站点），其中包括2 ^ 56个子网，其中有5个/ 64个子网。这意味着我必须比这里的任何其他IPv6专家都聪明1000亿倍。：D
事实是，因为我有更多的地址（或者使用IPv6的时间可能比您长），不能使IPv6更好（或者我对同一问题也是如此）。但是，在需要使用防火墙代替PAT的情况下，IPv6确实使IPv6变得更加复杂，并且不再需要NAT，而是可以选择使用NAT。防火墙的目标是允许所有出站连接并保持状态，但阻止入站启动的连接。
对于NAPT（带有PAT的NAT），要花一些时间才能使人们摆脱思维定势。例如，直到我们让您的曾祖父在没有站点本地地址（私有地址）且没有任何专家协助的情况下设置自己的IPv6防火墙之前，最好还是考虑一下NAT的可能，他所知道的一切。

#16 楼

针对ipv6的最新建议已建议从事这项新技术的工程师将NAT整合到ipv6中，原因如下：NAT提供了额外的安全层

文档在ipv6.com网站上，所有这些说明NAT不提供安全性的答案似乎都有些尴尬

#17 楼

我意识到在某个将来的点（只能推测），区域IPv4地址将不可避免地用完。我同意IPv6有一些严重的用户劣势。 NAT问题非常重要，因为它确实可以提供安全性，冗余性，私密性，并允许用户不受限制地连接几乎任意数量的设备。是的，防火墙是抵御未经请求的网络入侵的黄金标准，但是NAT不仅增加了另一层保护，而且无论防火墙配置或最终用户对此有何了解，无论您如何定义IPv4，NAT都通常提供默认的安全设计默认情况下，使用NAT和防火墙的安全性比仅使用防火墙的IPv6更加安全。另一个问题是隐私，每台设备上都有一个可路由的互联网地址，将使用户面临各种潜在的隐私侵犯，个人信息收集和跟踪方式，而这种方式在如今如此难以想象的情况下。我也认为，如果没有Nat，我们可能会通过Isp承担增加成本和控制的责任。 Isp可能会开始按设备或按用户使用率收费，就像我们已经在USB绑定中看到的那样，这将极大地降低最终用户自由打开他们认为合适的任何设备的自由度。截至目前，几乎没有美国ISP提供任何形式的IPv6，并且我认为非技术业务的转换速度会很慢，因为增加的成本几乎没有或没有获得任何价值。当然，IPv6在没有NAT的情况下仍具有一些优势，但IPv6的复杂性就更不用说应用程序和服务的可用性了，许多其他问题将使IPv4持续至少十年，甚至更长。