@
zhigang1992 用现代 SLAAC 的机制分配的 IPv6 地址:
被暴力扫描端口的风险相比 IPv4 大大下降( IPv4 下是很常见的攻击形式,尤其是 22 、3389 )
对于你主动访问的网站,ISP 、网站会知道你的临时 IP 。在 IP 有效期内,如果网站是恶意的,不设防的端口会有风险。
对于完全自用的服务,ISP 会知道你设备的稳定 IP 。ISP 中有内鬼也是有可能的,不过相比恶意网站,出问题的可能性很小
如果不考虑 ISP 层面的风险,家用路由器可以不设 IPv6 防火墙。
分类来看:
物联网设备因为访问的对象固定、可信,难以被外人发现
个人计算机、NAS 等有现代操作系统的设备,一般有完善的防火墙和安全机制。只有主动访问的网站才知道你的 IP 。即使访问到恶意网站,机器自身的防火墙也能起到保护作用。如果有临时 IP 机制,那攻击的时间窗更是进一步被缩小。
机器内自用的端口,绑定 localhost 应该是常识
局域网内自用的端口,可以仅绑定 IPv4 (好像也可以用 IPv6 的链路本地地址)
而对于高于家用级的安全要求,还是在路由器防火墙上设置普遍禁止、个别允许的入站规则更为保险
总的来说:
对于普通用户,IPv6 的隐私扩展和操作系统自身的安全机制依然可以保证日常使用的安全性
对于专业用户,在设备之间相互连接、被外网访问方面有了更大的自主设置余地,也存在成熟的 IPv6 防火墙以适应更高的安全需要
当然,更大的自由度总是会为“作死行为”提供更多的空间,但这不会在总体上影响 IPv6 积极意义