家庭宽带使用ipv6虽然解决了没有公网ipv4地址带来的问题,但是也暴露了一些安全问题,而这些安全问题常常容易被忽视。
在我们家庭局域网内部每一个设备都分配了一个公网ipv6地址的前提下,所有设备都暴露在外网,这势必造成了一定安全隐患,虽然说ipv6的地址池似乎无穷无尽,黑客扫描需要花费大量时间,并且针对家庭的攻击,没有利益可图,而且运营商会定期改变宽带的ipv6地址,换言之,家庭ipv6被攻击的可能性不是很大。
即使如此,哪怕是万分之一的被攻击可能,我们的安全意识也一定要提高,而且有些小伙伴为了外部访问内网方便,做了ipv6的ddns,这种做法无疑将整台设备暴露出去了,因为定期更换ipv6地址没用了,你的域名就是你家庭内网的入口,而且域名非常容易暴露,本来黑客扫描地址不易,偏偏你提供了域名,他们就跳过扫描直接攻击了。面对这种使用场景,由于你不知道你的那台设备是否提供了有漏洞的ipv6服务,也就无法阻止被攻击。
所以无论如何,路由器层面访问控制策略就非常有必要了,以下是ikuai路由针对ipv6防火墙的一些配置说明,点击爱快路由界面的安全设置---->ACL规则----->添加,就会出现如下图所示界面。
协议栈: 固定选择ipv6
协议: TCP\UDP\任意,如果选择任意就不能针对端口做限制,所以需要tcp和udp分别配置。
动作:允许\阻断,就是字面意思,一般情况下先配置一条总的阻断规则,然后再配一条特定的允许规则。
方向:转发\进 (转发是路由器接收到内网或外网的数据把数据进行转发发动作,进指内网或外网进路由),这里一般都是配置转发即可。
连接方向匹配:原始方向\应答方向\关闭 (原始方向:请求发起方。应答方向:请求响应方。 关闭:不匹配方向)
源地址、目的地址:(源地址:请求发起方地址,目的地址:请求响应方地址)在ipv6中这两项我个人认为不用配置,因为ipv6地址实在太多,针对地址配置规则在家庭宽带中意义不大,就算我们知道很清晰的前缀,作为程序员的我来说,家庭宽带性能也很重要,个人认为从数据包中解析出ipv6地址并且做匹配这件事本身相对于接口和端口来说,时间复杂度虽然一致,但是单次匹配的算力是比较大的,这是理论上来说的,实际损耗可能微乎其微,如果确实有这方面需要那就也配上好了。
源端口、目的端口:(源端口:请求发起方端口。应答方:请求响应方端口)。
进接口、出接口:( wan 外部接口还是lan 内部接口) : 这两个非常实用,使用这个可以很好的让外部网络无法访问我们内部的设备。
需求一:禁止外部网络通过ipv6访问所有内部设备,可以这么配置
- 一条规则ACL规则: 协议栈: ipv6 ,协议:任意,动作:阻断,方向:转发,连接方向匹配:原始方向,源地址、目的地址都不配,源端口、目的端口都不配,进接口选择wan,有几个wan就勾几个,出接口:任意。
有小伙伴会疑惑这条规则会不会影响内部访问外面的ipv6,答案是不影响,因为你从家里连接外部,你家庭设备处于lan中,进接口就是lan,不匹配这条规则,你该得到的响应数据还是会响应给你。除非你把链接方向匹配改成了关闭,此时你收不到回来的数据。
需求二:放行pt、bt 端口
-
一条TCP-ACL规则: 协议栈: ipv6 ,协议:tcp,动作:允许,方向:转发,连接方向匹配:原始方向,源地址、目的地址都不配,源端口不配,目的端口填入你PT\BT端口,进接口选择wan,有几个wan就勾几个,出接口:任意。
-
一条UDP-ACL规则: 协议栈: ipv6 ,协议:udp,动作:允许,方向:转发,连接方向匹配:原始方向,源地址、目的地址都不配,源端口不配,目的端口填入你PT\BT端口,进接口选择wan,有几个wan就勾几个,出接口:任意。
上面的配置规则就是让外部的网络允许访问内部网络的某个端口,无论你内部哪台机器开了bt、pt都适用,因为是根据端口匹配,所以其他端口全都不会放行,相对安全。
需求三:放行家庭服务器端口,和放行PT\BT端口一致,只要改下端口号。
需求四:允许特定运营商网络访问内部网络。
- 一条ACL规则: 协议栈: ipv6 ,协议:任意,动作:允许,方向:转发,连接方向匹配:原始方向,源地址填写允许访问的IP分组,目的地址不配,源端口、目的端口不配,进接口、出接口:任意。
各大运营商的ipv6地址段可以去网上找,然后在爱快的网络设置-->终端分组设置-->ipv6分组中可以配置。