⑴ 爱快 IPv4/IPv6 ACL/防火墙设置
在爱快系统中设置IPv4与IPv6的ACL/防火墙时,需要注意以下几点:
IPv4 ACL/防火墙设置: 端口转发与安全性:在IPv4环境下,通过端口转发实现的公网访问仅限于设定的端口范围内,相对安全级别较低。因此,需要针对端口转发、UPNP或DMZ的端口/设备进行ACL配置,限制如SSH、WEBUI或RDP等服务的访问来源IP,以提高安全性。 ACL设置前的准备:在设置ACL前,应确保端口转发已正确配置,仅针对需要加强安全性的端口进行ACL设置。对于BT或PT软件的监听端口,只需进行转发,无需设置ACL。
IPv6 ACL/防火墙设置: IPv6的全球唯一地址特性:IPv6具备全球唯一地址特性,无需额外设置即可实现公网访问,但默认情况下,爱快系统未启用IPv6防火墙,因此内网设备面临较大安全风险。 导入IPv6分组:为了增强IPv6的安全性,可以通过导入IPv6分组进行设置。步骤包括下载ipv6group.csv文件,并将其导入至爱快的“网络设置 终端分组设置 IPv6分组”中。注意分组名称的长度限制及未知省份的IPv6数据。 MAC分组功能:MAC分组功能允许设置后缀或MAC地址匹配规则,实现更精细的IPv6流量控制。 ACL规则设置:ACL规则的设置遵循默认规则优先原则。默认禁止从公网ping本地IPv6地址,但可根据实际情况进行调整。对特定端口或IP进行针对性开放以满足安全要求。例如,可以为WebUI、HTTPS、HTTP、SSH、RDP等服务配置ACL,允许特定省份的IPv6地址访问。
其他注意事项: 验证规则有效性:启用或停用ACL规则后,应使用命令检测端口连接状态,确保安全设置已生效。可以使用nmap工具进行端口开放检测。 完全暴露IPv6设备:如果需要将设备IPv6完全暴露于公网,只需选择“任意”协议,并留空源地址以允许所有源地址的访问。但这样做会增加安全风险,因此应谨慎操作。