Cel mai mare motiv pe care îl cunosc? ipv6. O mare parte din motivul pentru care a fost propus IPv6 a fost pentru a ocoli problema de epuizare a adreselor IPv4 și a scăpa de „hack-ul urât” care este nat. Din cauza combinației IPv4+NAT, mult prea mulți oameni presupun automat asta firewall == nat ceea ce nu este cazul. Aproape toate firewall-urile pot face NAT, dar nu toate soluțiile NAT pot face firewall.
IPv6 presupune o rețea nemascata, ceea ce provoacă unele probleme oamenilor obișnuiți ca totul să fie mascat. Într-o rețea IPv6, sunteți mult mai sigur presupunând că o adresă IPv6 „publică” nu este o garanție a rutabilității.
Dar nu este vorba doar de IPv6. Universitatea pentru care lucram avea o alocare IPv4 /16 când lucram acolo. Aveau desktop-uri cu adrese IP „publice”. Cu toate acestea, acestea erau încă protejate de firewall, deoarece firewall-urile noastre funcționau în modul „transparent”. Aveam spațiul de adrese, de ce nu? De asemenea, a făcut anumite cazuri de utilizare mai ușor de gestionat fără a fi nevoie să jucați jocuri NAT de redirecționare a portului și de atribuire public-IP.
Dacă definiția dvs. de transparent înseamnă un serviciu de securitate L2, cazurile de utilizare sunt comune chiar și în rețelele IPv4.
- Grupurile de securitate AWS funcționează astfel pentru ei ec2, Virtual Private Cloud și alte servicii.
- Azure Security Groups funcționează în mod similar.
- A trecut ceva timp de când am lucrat cu el, dar cred că rețelele VMWare ESX au avut o opțiune similară.
Aceste sisteme sunt nucleul securității rețelei la furnizorii majori de cloud public. Definiți o listă de reguli de permis/refuzare, iar acestea se aplică resursei. În AWS, aceasta este interfața instanței EC2, Lambda sau alt serviciu. Firewall-ul nu există pe cutie ca un iptables, ci sub mașina virtuală. Acest lucru îl face un dispozitiv L2 transparent.
