设想:
在未来 IPv6 广泛部署的背景下,端到端的通信不再是难事,但在外部访问内网服务的安全问题也随之而来。我们不会为此重返到 NAT 的时代,也不需要繁杂的隧道配置。
有这样的设施,它会在默认情况下阻挡目的地为受保护的网络的来自外部网络的访问。当你想要从外部网络访问受保护的网络时,可以访问一个认证站点(也可以是别的服务),它会记录通过认证的终端的 IPv6 地址,将这个终端的地址放入受保护网络的访问白名单中。而且为了安全,这个设施会阻止不安全的协议(比如 HTTP )。
我可以想象到这样的具体使用情景:
我在外面想要看家里的监控摄像头,我不希望让别的人能够有机会访问到我的摄像头,所以它会阻拦所有不在白名单里的主动传入连接。我登录到自己的认证服务,它记录下了我的 IPv6 地址并为我放行。
尽管有点像 IPSec 传输模式而且不如它安全,但是对于访问内部的带加密的服务来说是足够安全的,而且对于客户端来说非常轻量级。
现在有没有厂商提供这种方案?
在未来 IPv6 广泛部署的背景下,端到端的通信不再是难事,但在外部访问内网服务的安全问题也随之而来。我们不会为此重返到 NAT 的时代,也不需要繁杂的隧道配置。
有这样的设施,它会在默认情况下阻挡目的地为受保护的网络的来自外部网络的访问。当你想要从外部网络访问受保护的网络时,可以访问一个认证站点(也可以是别的服务),它会记录通过认证的终端的 IPv6 地址,将这个终端的地址放入受保护网络的访问白名单中。而且为了安全,这个设施会阻止不安全的协议(比如 HTTP )。
我可以想象到这样的具体使用情景:
我在外面想要看家里的监控摄像头,我不希望让别的人能够有机会访问到我的摄像头,所以它会阻拦所有不在白名单里的主动传入连接。我登录到自己的认证服务,它记录下了我的 IPv6 地址并为我放行。
尽管有点像 IPSec 传输模式而且不如它安全,但是对于访问内部的带加密的服务来说是足够安全的,而且对于客户端来说非常轻量级。
现在有没有厂商提供这种方案?
Select Language