⑴ 愛快 IPv4/IPv6 ACL/防火牆設置
在愛快系統中設置IPv4與IPv6的ACL/防火牆時,需要注意以下幾點:
IPv4 ACL/防火牆設置: 埠轉發與安全性:在IPv4環境下,通過埠轉發實現的公網訪問僅限於設定的埠范圍內,相對安全級別較低。因此,需要針對埠轉發、UPNP或DMZ的埠/設備進行ACL配置,限制如SSH、WEBUI或RDP等服務的訪問來源IP,以提高安全性。 ACL設置前的准備:在設置ACL前,應確保埠轉發已正確配置,僅針對需要加強安全性的埠進行ACL設置。對於BT或PT軟體的監聽埠,只需進行轉發,無需設置ACL。
IPv6 ACL/防火牆設置: IPv6的全球唯一地址特性:IPv6具備全球唯一地址特性,無需額外設置即可實現公網訪問,但默認情況下,愛快系統未啟用IPv6防火牆,因此內網設備面臨較大安全風險。 導入IPv6分組:為了增強IPv6的安全性,可以通過導入IPv6分組進行設置。步驟包括下載ipv6group.csv文件,並將其導入至愛快的「網路設置 終端分組設置 IPv6分組」中。注意分組名稱的長度限制及未知省份的IPv6數據。 MAC分組功能:MAC分組功能允許設置後綴或MAC地址匹配規則,實現更精細的IPv6流量控制。 ACL規則設置:ACL規則的設置遵循默認規則優先原則。默認禁止從公網ping本地IPv6地址,但可根據實際情況進行調整。對特定埠或IP進行針對性開放以滿足安全要求。例如,可以為WebUI、HTTPS、HTTP、SSH、RDP等服務配置ACL,允許特定省份的IPv6地址訪問。
其他注意事項: 驗證規則有效性:啟用或停用ACL規則後,應使用命令檢測埠連接狀態,確保安全設置已生效。可以使用nmap工具進行埠開放檢測。 完全暴露IPv6設備:如果需要將設備IPv6完全暴露於公網,只需選擇「任意」協議,並留空源地址以允許所有源地址的訪問。但這樣做會增加安全風險,因此應謹慎操作。