切换到IPv6意味着删除NAT。那是件好事儿吗？

这是有关IPv6和NAT 的规范问题

有关：

• IPv6子网划分如何工作？与IPv4子网划分有何不同？
• 如何将自己的脚趾“浸入”动态IPv6网络寻址中？
• 没有nat的IPv6，但是isp更改呢？

因此，我们的ISP最近建立了IPv6，并且我一直在研究过渡所带来的挑战。

我注意到了三个非常重要的问题：

1. 我们的办公室NAT路由器（旧的Linksys BEFSR41）不支持IPv6。也没有任何新的路由器AFAICT。我正在阅读的有关IPv6的书告诉我，无论如何，它使NAT“不必要”。

2. 如果我们只是想摆脱这个路由器，直接将所有东西都插入互联网，那我就会感到恐慌。地狱是不可能的，我会将我们的计费数据库（包含很多信用卡信息！）放在互联网上，以供所有人查看。即使我提议在其上设置Windows的防火墙以允许仅6个地址对其进行任何访问，但我仍然不知所措。我不信任Windows，Windows的防火墙或足够大的网络，甚至无法远程接受。

3. 有一些旧的硬件设备（即打印机）根本没有IPv6功能。大概可以追溯到1998年左右的安全问题清单。而且根本没有办法以任何方式对其进行修补。而且没有资金购买新打印机。

我听说IPv6和IPSEC应该以某种方式使所有这些安全，但是如果没有物理隔离的网络使这些设备对Internet不可见，我真的不知道如何实现。我同样可以真正看到我创建的任何防御措施将在短期内被超支。我已经在Internet上运行服务器很多年了，我对保护这些服务器所必需的事情非常熟悉，但是将诸如私有数据之类的计费数据库放在网络上始终是不可能的。

如果我们没有物理上分开的网络，我应该用NAT替换什么？

首先，只要您的安全设备配置正确，就不必担心公共IP分配。

如果我们没有物理上分开的网络，我应该用NAT替换什么？

自1980年代以来，我们一直在物理上将它们与路由器，防火墙分开。通过NAT获得的一大安全好处是，它迫使您进入默认拒绝配置。为了通过它获得任何服务，您必须显式打孔。先进的设备甚至允许您将基于IP的ACL应用于这些漏洞，就像防火墙一样。实际上可能是因为它们的包装盒上有“防火墙”。

正确配置的防火墙可以提供与NAT网关完全相同的服务。NAT网关之所以被广泛使用，是因为与大多数防火墙相比，它们更容易进入安全配置。

我听说IPv6和IPSEC应该以某种方式使所有这些安全，但是如果没有物理隔离的网络使这些设备对Internet不可见，我真的不知道如何实现。

这是一个误解。我为一所拥有/ 16 IPv4分配的大学工作，我们的IP地址使用量中的绝大部分是该公共分配。当然，我们所有的最终用户工作站和打印机。我们的RFC1918消耗仅限于需要此类地址的网络设备和某些特定服务器。如果您刚才发抖，我不会感到惊讶，因为当我第一天出现并在显示器上看到带有IP地址的便利贴时，我肯定会这样做。

然而，我们生存了。为什么？因为我们将外部防火墙配置为使用ICMP吞吐量受限的默认拒绝。仅仅因为140.160.123.45在理论上是可路由的，并不意味着您可以从公共互联网上的任何地方到达那里。这就是防火墙的设计目的。

给定正确的路由器配置，并且分配中的不同子网可能彼此之间完全无法访问。您可以在路由器表或防火墙中执行此操作。这是一个独立的网络，过去使我们的安全审核员满意。

地狱是不可能的，我会将我们的计费数据库（包含很多信用卡信息！）放在互联网上，以供所有人查看。

我们的帐单数据库位于公共IPv4地址上，并且已经存在了整个时间，但是我们有证据表明您无法从这里到达那里。仅因为地址在公共v4可路由列表上并不意味着可以保证将其发送。Internet弊端与实际数据库端口之间的两个防火墙可以过滤掉这些弊端。即使从我的办公桌在第一个防火墙之后，也无法访问该数据库。

信用卡信息是一种特殊情况。这要服从PCI-DSS标准，并且该标准直接声明包含此类数据的服务器必须位于NAT网关^1的后面。我们是，这三台服务器代表了我们对RFC1918地址的总服务器使用率。它并没有增加任何安全性，只是增加了一层复杂性，但是我们需要选中该复选框以进行审计。

最初的“ IPv6使NAT成为过去”的想法是在Internet繁荣真正达到完全主流之前提出的。在1995年，NAT是解决较小IP分配问题的一种解决方法。在2005年，它被包含在许多安全性最佳实践文档中，并且至少包含一个主要标准（具体来说是PCI-DSS）。NAT带来的唯一具体好处是，在网络上执行侦察的外部实体不知道NAT设备后面的IP情况（尽管有了RFC1918，他们有一个很好的猜测），而在不使用NAT的IPv4上（例如作为我的工作）并非如此。这是深度防御中的一小步，而不是大步。

RFC1918地址的替代物是所谓的唯一本地地址。像RFC1918一样，除非对等方明确同意允许他们路由，否则它们不会路由。与RFC1918不同，它们在全球范围内是唯一的。可以将ULA转换为全球IP的IPv6地址转换器确实存在于更高范围的外围设备中，但绝对不在SOHO设备中。

您可以使用公共IP地址生存。请记住，“公开”并不能保证“可达”，您会没事的。

2017更新

在过去的几个月中，Amazon aws一直在添加IPv6支持。它刚刚被添加到了他们的amazon-vpc产品中，并且它们的实现为预期完成大规模部署提供了一些线索。

• 您将获得一个/ 56分配（256个子网）。
• 分配是一个完全可路由的子网。
• 您应该对防火墙规则（安全组）进行适当的限制。
• 没有NAT，甚至没有提供NAT，因此所有出站流量都将来自实例的实际IP地址。

为了增加NAT的安全性优势之一，它们现在提供了仅出口的Internet网关。这提供了类似NAT的好处：

• 它后面的子网不能直接从Internet访问。

万一配置错误的防火墙规则意外允许入站流量，它将提供深度防御层。

此产品不会像NAT那样将内部地址转换为单个地址。出站流量仍将具有打开连接的实例的源IP。希望将VPC中的资源列入白名单的防火墙运营商最好将网络块列入白名单，而不是特定的IP地址。

可路由并不总是意味着可达。

¹：PCI-DSS标准于2010年10月更改，删除了要求RFC1918地址的声明，并用“网络隔离”代替了它。

我们的办公室NAT路由器（旧的Linksys BEFSR41）不支持IPv6。也没有任何更新的路由器

许多路由器都支持IPv6。只是没有那么多针对消费者和SOHO的廉价产品。最坏的情况是，仅使用Linux机器或用dd-wrt或其他类似的方法重新刷新路由器即可获得IPv6支持。有很多选择，您可能只需要加倍努力。

如果我们应该摆脱这个路由器，然后将所有内容直接插入Internet，

过渡到IPv6并不意味着您应该摆脱外围安全设备，例如路由器/防火墙。路由器和防火墙仍将是几乎每个网络的必需组件。

所有NAT路由器均有效地充当状态防火墙。RFC1918地址的使用可以保护您这么多，这没有什么神奇的。努力工作是有状态的。如果您使用的是真实地址或私有地址，则正确配置的防火墙同样可以为您提供保护。

您从RFC1918地址获得的唯一保护是，它使人们可以摆脱防火墙配置中的错误/惰性，并且仍然不会那么脆弱。

有一些旧的硬件设备（即打印机）根本没有IPv6功能。

所以？您几乎不需要在Internet上使它可用，并且在内部网络上，可以继续运行I​​Pv4和IPv6，直到支持或替换所有设备为止。

如果不能运行多个协议，则可能必须设置某种网关/代理。

IPSEC应该以某种方式确保所有这些安全

IPSEC加密并验证数据包。它与摆脱边界设备无关，并且对传输中的数据提供了更多保护。

是。NAT已死。已经进行了一些尝试来批准IPv6上的NAT标准，但是没有一个尝试。

这实际上给试图满足PCI-DSS标准的提供商带来了问题，因为该标准实际上表明您必须位于NAT之后。

对我来说，这是我听过的最精彩的消息。我讨厌NAT，甚至更讨厌运营商级NAT。

在IPv6成为标准之前，NAT一直只是一个临时解决方案，可以让我们通过，但它已根深蒂固地进入了互联网社会。

在过渡期间，您必须记住，IPv4和IPv6除了名称相似外，完全不同¹。因此，双栈设备将对您的IPv4进行NAT，而不会对您的IPv6进行NAT。这几乎就像有两个完全独立的设备，只是包装在一块塑料中。

那么，IPv6 Internet访问如何工作？嗯，在发明NAT之前，互联网曾经的工作方式。您的ISP将为您分配一个IP范围（与现在相同，但通常为您分配一个/ 32，这意味着您仅获得一个IP地址），但是您的范围现在将具有数百万个可用IP地址。您可以随意选择填充这些IP地址（使用自动配置或DHCPv6）。这些IP地址中的每个IP地址都可以从Internet上的任何其他计算机上看到。

听起来吓人吧？您的域控制器，家庭媒体PC和带有隐藏色情内容的iPhone都可以通过互联网访问了！好吧，不。这就是防火墙的用途。IPv6的另一个重要功能是，它可以将防火墙从“允许所有”方法（与大多数家用设备一样）强制转换为“拒绝全部”方法，在此方法中您可以为特定IP地址打开服务。99.999％的家庭用户将很乐意将其防火墙设置为默认并完全锁定，这意味着不允许未经许可的流量进入。

¹ _{好，除此之外，还有很多其他方法，尽管它们都允许在顶部运行相同的协议，但它们彼此之间并不兼容}

众所周知，NAT的PCI-DSS要求是安全区域，而不是实际的安全性。

最新的PCI-DSS已不再要求将NAT称为绝对要求。许多组织通过了不带NAT的IPv4的PCI-DSS审核，显示有状态的防火墙是“等效的安全实现”。

那里还有其他要求使用NAT的安全区域文档，但是，由于它破坏了审核记录并使得事件调查/缓解更加困难，因此对NAT（无论是否使用PAT）进行更深入的研究将对网络安全产生负面影响。

一个好的没有NAT的状态防火墙是IPv6世界中NAT的绝佳解决方案。在IPv4中，为了节省地址，必须容忍NAT。

（很不幸）要过一会儿，您才能摆脱单栈IPv6网络。在此之前，双栈优先运行IPv6（如果可用）。

尽管当今大多数消费类路由器不支持带有备用固件的IPv6，但是许多路由器可以支持第三方固件（例如，带dd-wrt的Linksys WRT54G等）。而且，许多企业级设备（Cisco，Juniper）都支持现成的IPv6。

重要的是不要将PAT（多对一NAT，在消费类路由器上很常见）与其他形式的NAT和无NAT的防火墙混为一谈；一旦Internet变为仅IPv6，防火墙仍将阻止内部服务的公开。同样，具有一对一NAT的IPv4系统也不会自动受到保护。这就是防火墙策略的工作。

由于网络管理员从一个角度看待NAT，而小型企业和住宅客户则从另一个角度看，在这个问题上有很多困惑。让我澄清一下。

静态NAT（有时称为一对一NAT）绝对不会为您的专用网络或单个PC 提供保护。就保护而言，更改IP地址毫无意义。

像大多数住宅网关和wifi AP一样，动态重载NAT / PAT绝对可以帮助保护您的专用网络和/或PC。通过设计，这些设备中的NAT表是状态表。它跟踪出站请求并将其映射到NAT表中-连接在一定时间后超时。默认情况下，任何与NAT表中的内容不匹配的未经请求的入站帧都会被丢弃-NAT路由器不知道在专用网络中将其发送到何处，因此会丢弃它们。这样，您留下的唯一容易受到黑客攻击的设备就是路由器。由于大多数安全漏洞利用都是基于Windows的，因此在Internet和Windows PC之间安装这样的设备确实有助于保护您的网络。它可能不是最初打算的功能，这样做可以节省公共IP，但是可以完成工作。值得一提的是，大多数这些设备还具有防火墙功能，默认情况下，防火墙功能很多次会阻止ICMP请求，这也有助于保护网络。

根据上述信息，在转移到IPv6时使用NAT处理可能会使数百万个消费者和小型企业设备遭受潜在的黑客攻击。由于企业网络边缘具有专业管理的防火墙，因此对企业网络几乎没有影响。消费者和小型企业网络可能在Internet和其PC之间不再具有基于* nix的NAT路由器。没有理由一个人不能切换到仅防火墙解决方案-如果部署正确会更安全，但也超出了99％的消费者理解如何做的范围。动态重载NAT仅通过使用即可提供少量保护-插入住宅路由器即可保护您。简单。

也就是说，没有理由不能完全按照在IPv4中使用NAT的方式来使用NAT。实际上，可以将路由器设计为在WAN端口上具有一个IPv6地址，并在其后面具有NAT的IPv4专用网络（例如）。对于消费者和居民来说，这将是一个简单的解决方案。另一个选择是将所有具有公共IPv6 IP的设备置于中间设备，然后该中间设备可以充当L2设备，但提供状态表，数据包检查和功能齐全的防火墙。本质上，没有NAT，但仍然阻止了任何未经请求的入站帧。要记住的重要一点是，不要在没有中间设备的情况下将PC直接插入WAN连接。除非您当然要依赖Windows防火墙。。。那是另一回事。

过渡到IPv6会有一些麻烦，但是没有任何问题不能轻易解决。您是否必须放弃旧的IPv4路由器或住宅网关？也许可以，但是到时候会有便宜的新解决方案可用。希望许多设备仅需要固件闪存。是否可以将IPv6设计为更无缝地适合当前体系结构？当然，但这就是它的存在，并且不会消失-所以您最好学习，生活，热爱它。

如果NAT在IPv6世界中生存下来，则很可能是1：1 NAT。一种在IPv4空间中从未见过的NAT形式。什么是1：1 NAT？这是全局地址到本地地址的1：1转换。等效于IPv4的情况是将所有到1.1.1.2的连接仅转换为10.1.1.2，以此类推，对于整个1.0.0.0/8空间。IPv6版本将是将全局地址转换为唯一本地地址。

可以通过频繁地旋转不需要的地址的映射来增强安全性（例如内部办公室用户浏览Facebook）。在内部，您的ULA编号保持不变，因此您的水平分割DNS可以继续正常工作，但是在外部，客户端永远不会处于可预测的端口上。

但实际上，这为它带来的麻烦提供了少量改进的安全性。扫描IPv6子网是一项非常艰巨的任务，如果不对如何在这些子网中分配IP地址（MAC生成方法？随机方法？人类可读地址的静态分配？）进行一些检查，这是不可行的。

在大多数情况下，将发生的事情是，公司防火墙后面的客户端将获得一个全局地址，也许是一个ULA，并且外围防火墙将被设置为拒绝所有与这些地址的任何传入连接。出于所有目的和目的，这些地址是无法从外部访问的。内部客户端启动连接后，将允许通过该连接的数据包。将IP地址更改为完全不同的地址的方法是通过迫使攻击者通过该子网中2 ^ 64个可能的地址来解决的。

RFC 4864描述了IPv6本地网络保护，这是一组在IPv6环境中提供NAT的明显好处的方法，而无需实际使用NAT。

本文档描述了可以在IPv6站点上组合以保护其网络体系结构完整性的多种技术。这些技术统称为“本地网络保护”，保留了专用网络“内部”和“外部”之间的界限分明的概念，并允许防火墙，拓扑隐藏和隐私。但是，由于它们在需要的地方保留了地址透明性，因此可以实现这些目标而没有地址转换的缺点。因此，IPv6中的本地网络保护可以提供IPv4网络地址转换的好处而没有相应的缺点。

它首先列出了NAT带来的好处（并在适当的时候对它们进行了揭穿），然后描述了可用于提供相同好处的IPv6的功能。它还提供了实施说明和案例研究。

虽然此处转载时间太长，但所讨论的好处是：

• 在“内部”和“外部”之间的简单网关
• 有状态防火墙
• 用户/应用程序跟踪
• 隐私和拓扑隐藏
• 专用网络中地址的独立控制
• 多宿主/重编号

这几乎涵盖了可能需要NAT的所有情况，并提供了在没有NAT的IPv6中实现它们的解决方案。

您将使用的一些技术是：

• 唯一的本地地址：在内部网络上首选这些地址，以使内部通信保持内部状态，并确保即使ISP中断，内部通信也可以继续。
• IPv6隐私扩展，具有较短的地址生命期和结构清晰的接口标识符：这些有助于防止攻击单个主机和子网扫描。
• IGP，移动IPv6或VLAN可用于隐藏内部网络的拓扑。
• 与ULA一起，ISP的DHCP-PD使重新编号/多宿主比IPv4更加容易。

（有关完整的详细信息，请参阅RFC；同样，重新打印甚至摘录大量内容都太长了。）

有关IPv6过渡安全性的更一般性讨论，请参阅RFC 4942。

的种类。实际上，IPv6地址有不同的“类型”。最接近RFC 1918（10 / 8、172.16 / 12、192.168 / 16）的地址称为“唯一本地地址”，并在RFC 4193中定义：

http://en.wikipedia.org/wiki/Unique_local_address

因此，您从fd00 :: / 8开始，然后添加40位字符串（使用RFC中的预定义算法！），最后得到一个伪随机/ 48前缀，该前缀应该是全局唯一的。您可以根据需要分配其余的地址空间。

您还应该将（IPv6）路由器上的fd00 :: / 7（fc00 :: / 8和fd00 :: / 8）阻止到组织外部，因此地址名称中应使用“本地”。这些地址虽然位于全局地址空间中，但不应仅通过您的“组织”才能到达整个世界。

如果您的PCI-DSS服务器需要IPv6才能连接到其他内部IPv6主机，则应为公司生成ULA前缀，并将其用于此目的。如果需要，您可以像其他任何前缀一样使用IPv6的自动配置。

鉴于IPv6的设计目的是使主机可以具有多个地址，所以除了ULA之外，一台计算机还可以具有全局可路由地址。因此，需要与外界和内部机器进行通信的Web服务器可以同时具有ISP分配的预地址和您的ULA前缀。

如果您想要类似NAT的功能，也可以查看NAT66，但总的来说，我会围绕ULA进行设计。如果您还有其他疑问，可以查看“ ipv6-ops”邮件列表。

恕我直言：不是。

在某些地方仍然可以使用SNAT / DNAT。例如，一些服务器已移至另一个网络，但我们不希望/我们无法更改应用程序的IP。

希望NAT永远消失。仅当您的IP地址稀缺且没有状态防火墙无法提供的更好，更便宜且更容易管理的安全功能时，此功能才有用。

由于IPv6 =不再稀缺，这意味着我们可以摆脱NAT这一丑陋的黑洞。

对于IPv6丢失NAT（如果确实消失了）将如何影响用户隐私，我还没有一个明确的答案。

通过公开显示各个设备的IP地址，Web服务可以更轻松地监视（通过时间，空间和站点进行收集，存储，汇总，并促进大量的二次使用）您从各种设备在Internet上的旅行。除非... ISP，路由器和其他设备使动态IPv6地址变得容易，并且可以为每个设备频繁更改。

当然，不管我们仍然遇到静态的wi-fi MAC地址公开问题，但这是另一回事了……

在V4到V6过渡方案中，有许多支持NAT的方案。但是，如果您拥有一个全IPV6网络并连接到上游IPV6提供程序，则NAT不会成为新世界秩序的一部分，除非您可以在V4网络之间通过V6网络建立隧道。

思科拥有有关4to6方案，迁移和隧道的大量常规信息。

http://www.cisco.com/zh-CN/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

同样在Wikipedia上：

https://secure.wikimedia.org/wikipedia/zh/wiki/IPv6_transition_mechanisms

政治和基本的商业惯例很可能会促进NAT的存在。过多的IPv6地址意味着ISP倾向于按设备收费或将连接限制为有限数量的设备。请参阅/上的最新文章。例如：

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

仅供参考，任何有兴趣的人都可以将NAT / NAPT与IPV6一起使用。所有具有PF的BSD操作系统都支持NAT66。效果很好。 在博客中，我们使用了：

ipv6 nat（nat66）通过FreeBSD pf

尽管nat66仍在起草中，但是FreeBSD pf已经很长时间支持它了。

（编辑pf.conf并插入以下代码）

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

你们都准备好了！

对于多年来一直使用单个IP地址使用鱿鱼的人们来说，效果很好。使用IPv6 NAT，我可以获得2 ^ 120个私有地址（本地站点），其中包括2 ^ 56个子网，其中有5个/ 64个子网。这意味着我必须比这里的任何其他IPv6专家聪明1000亿倍，因为我有更多地址。

事实是，仅仅因为我拥有更多的地址（或者使用IPv6的时间可能比您长），实际上并没有使IPv6（或者我的同一个问题）变得更好。但是，在需要防火墙来代替PAT的情况下，IPv6确实使IPv6变得更加复杂，而NAT不再是必须的，而是一种选择。防火墙的目标是允许所有出站连接并保持状态，但阻止入站启动的连接。

至于NAPT（带有PAT的NAT），需要花一些时间才能使人们摆脱思维定势。例如，直到我们让您的曾祖父在没有站点本地地址（私有地址）且没有任何专家协助的情况下设置自己的IPv6防火墙之前，最好还是考虑一下NAT的可能，因为他所知道的一切。

针对ipv6的最新建议已建议从事这项新技术的工程师将NAT整合到ipv6中，原因如下：NAT提供了额外的安全层

该文档位于ipv6.com网站上，因此似乎所有这些说明NAT不提供安全性的答案都显得有些尴尬

我意识到，在将来的某个时刻（只能推测），区域IPv4地址将不可避免地耗尽。我同意IPv6有一些严重的用户劣势。NAT问题非常重要，因为它确实可以提供安全性，冗余性，私密性，并允许用户不受限制地连接几乎任意数量的设备。是的，防火墙是抵御未经请求的网络入侵的黄金标准，但是NAT不仅增加了另一层保护，而且无论防火墙配置或最终用户对此有何了解，无论您如何定义IPv4，NAT都通常提供默认的安全设计默认情况下，使用NAT和防火墙的安全性要比仅使用防火墙的IPv6的安全性高。另一个问题是隐私，在每台设备上都具有可路由的互联网地址，将使用户面临各种潜在的隐私侵犯，个人信息收集和跟踪方式，而这种方式在如今如此难以想象的今天。我也认为，如果没有Nat，我们可能会通过Isp来增加成本和控制。Isp可能会开始按设备或按用户使用率开始收费，就像我们已经在USB绑定中看到的那样，这将大大降低最终用户自由打开他们认为合适的任何设备的自由度。截至目前，几乎没有美国ISP提供任何形式的IPv6，而且我认为非技术业务的转换速度会很慢，因为增加的成本几乎没有或没有获得任何价值。