这样的网络安全设施是否已经存在了？

ltkun

2022-01-19 07:53:22 +08:00

简单的解决方案就是摄像头放局域网局域网设置 vpn 或者其他可以访问内网的服务需要的时候登录 vpn 查看外网不能访问很安全我现在所有应用基本上都是这么干的

kokutou

2022-01-19 08:05:33 +08:00

只要是个防火墙都是默认阻止外部访问.

自己搞个网站搞个 portal 认证, 开个 nginx 架上去, nginx 自己就会记录所有的访问日志

fengchen0vr

2022-01-19 08:11:24 +08:00

家庭网关应该带防火墙，重要的设备应该也带
我 pc 的 eset ping6 都拦截，不晓得以后 ping6 会不会被滥用

villivateur

2022-01-19 08:29:04 +08:00

openwrt 都是默认屏蔽传入 ipv6 连接的

wslzy007

2022-01-19 08:43:15 +08:00

@HawkinsSherpherd 安全访问摄像头这类需求没这么复杂，参考： https://cloud.tencent.com/developer/article/1926888

Elissa

2022-01-19 09:15:04 +08:00

光猫拨号就是这样的，ipv6 是通，但是端口该拦截还是拦截，外面进不来。安全访问的话改桥接拨号，自己架设认证服务

xiaooloong

2022-01-19 09:44:50 +08:00

你说的就是「防火墙」的功能。

SkyFvcker

2022-01-19 09:53:11 +08:00

我个人是 nginx 给内网服务（摄像头、Home Assistance ）做了个反向代理，然后 cloudflare 转发到 Nginx 。Client 到 Cloudflare 用 SSL 双向认证。安装证书的 client 甚至不需要登录就能很安全的访问内网资源。

LnTrx

2022-01-19 10:25:30 +08:00

Port knocking 符合要求么

PerFectTime

2022-01-19 10:31:44 +08:00

有没有一种可能？你说的这个东西叫防火墙

kxuanobj

2022-01-19 10:54:41 +08:00

@PerFectTime 像是带 port knocking 的防火墙？

你这种想法是会提高安全性。但没办法在大规模部署后还能提高安全性。因为 IP 路由协议的问题，**伪造 IP**是一件很容易的事。作为安全方案，这就是它的致命弱点。

这样就很难把它作为一个正式的商业产品推广。

kxuanobj

2022-01-19 10:56:48 +08:00

补充一下。伪造 IP 很容易是伪造数据包源 IP 。即可以很容易作为某个 IP 发数据，但很难按照 IP 路由收到回应包。

Akiio

2022-01-19 10:58:02 +08:00

这不就是说的零信任吗，现在很多公司都在搞，以后甚至页面不需要写认证，只需要认证访客，系统层面的认证已经没有意义了。

tankren

2022-01-19 12:43:58 +08:00

我用 pfsense 防火墙

acess

2022-01-19 17:11:02 +08:00

我以前都是在路由器上开 ssh 端口转发来访问内网的东西，不过很显然这样效率比较差，只是那个时候网速也不快所以问题不明显。

ericww

2022-01-20 00:24:59 +08:00

@xiaooloong 防火墙 +1

geekvcn

2022-01-20 01:19:29 +08:00

光猫，路由器 IPv6 防火墙都是默认禁止入站的，你能想到的，设备商早想到了

xbiyy

2022-01-20 10:37:27 +08:00

楼主的意思是自动配置的防火墙，认证过的设备可以在公网动态接入，而不用一条条配置防火墙规则

如果 vpn 连接回家，每次需要挂 vpn ，或者一直挂着 vpn

理想情况是对设备进行一次认证，然后就可以通过 ipv6 直连回家，而不用再挂 vpn ，而其他设备默认阻拦

不知道 AD 域控+证书是不是能够实现

thevita

2022-01-20 13:36:35 +08:00

给 IP 授权需要解决的问题可能并不少，
要不直接上零信任吧

yundun2021

2022-01-20 14:23:50 +08:00

零信任零信任，给用户加一层验证即可