IPv6 大环境下如何保障联网设备的安全

一般人防火墙打开就可以了，以前拨号的时候也是有公网地址，路由器还不普及，都过来了。实在不行 IP V6 关闭，没有 3，5 年 V6 还是普及不了

不怕。

不就是公网 IP 么，之前服务器上怎么做安全措施，现在个人这杯上一样做，都是程序员了，多少都懂一些安全知识

大家可以测试一下手头各种声称支持 IPV6 的设备，看看有没有做好基本的安全防护工作，例如是否支持隐私扩展、是否还在使用 EUI-64、是否默认开启防火墙等等。将结果汇总一下便于共同声讨某些欠缺安全意识的厂商。

大部分网络嗅探方式的攻击在 ipv6 下会失效。
针对特定地址的攻击，打开防火墙，及时打补丁就可以了。
一般人的 PC 远没有上报一个 0day 漏洞的价值大，没必要恐慌。

对于电脑来说，顶多就是回到当年 adsl 的时代而已，防火墙打开就没事了

防火墙啊，除非嵌入式设备为了节省空间阉割了防火墙的部分功能，常用的操作系统基本都是支持 IPv6 防火墙的。只是需要自己设置一下安全策略。

桌面系统一般没什么问题。
容易出问题的是其他设备，例如监控、nas 等。

干嘛要盼着安全？我倒是希望普遍不安全。这才有利可图。黑白两道都有暴富机会。学术界也有大量的研究课题可做。
“物联网安全”这块蛋糕越大越好。

ms03-026、ms04-011 时，我读初中。在电视上看到了“冲击波”、“震荡波”爆发的新闻。
ms06-040 时，我读高中。忙着学习，无暇顾及。最有名的相关蠕虫应该是“魔鬼波”。
ms08-067 时，我读大学。终于赶上了一班车。狼牙抓鸡器。。那种一扫一大片，踏平互联网的感觉，至今难忘。
伴随着 IP 地址枯竭，联网 PC 越来越多隐藏于 NAT 之后。十年前这一切，已变成遥远的回忆。
ipv6 & 物联网 时代，这样的好日子会回来吗？

默认 ipv6 的防火墙开着的呀，你想访问，防火墙不放行还访问不到的。

@t6attack 把时间相关性简单当作因果关系的范例

有 NAT 就是被保护的巨婴？上 ipv6 你就长大了？
我问你哈，你觉得各大网站的数据库服务例如 mysql，你能从公网上访问到吗？你不能。为什么他们这么巨婴要把自己藏起来，不自由一点把他们的数据库对公网暴露了出来，那多方便啊。
为什么呢？因为数据库本不该对外开放，只要 web 服务能访问他们就够了，而对外开放的只要一个 web 服务。
好比现在的家庭网络环境，你家的打印机、电视机、你笔记本上开发时打开的 http 服务、mysql、redis、智能家电的某个调试端口，他们本不该让外界访问，应该只能被内网访问，应该有一个网关防火墙把他们保护起来，明白吗？
ipv4 的 NAT，本意是为了缓解地址衰竭的问题，但是在事实上刚好承担了网关防火墙的责任，防止了内网的机器被外部直接访问，就好比“堡垒机”或“跳板机”的作用，所有对内访问在网关上做统一管理，默认拒绝所有内连，只有被明确允许的才放行。这和你 pc 上的防火墙的干的不是一件事，明白吗？
现在 ipv6 不需要 NAT 了，所以这个自带的网关防火墙也就没了，原先被保护的内网设备和端口就都暴露了。这不是 ipv6 的缺点，因为这本来就不是 ipv6 所要考虑的事情，NAT 也不过是“顺便”提供了这个功能。
怎么提高安全性？很简单，在你的网关设备上用 iptables 加几条规则，就能起到和原来 NAT 网关防火墙一样的作用了。但如果你想要的就是你家的全部设备都有一个公网 ip 可供人随便访问，这样你才觉得不巨婴，那你什么都不必做，目前的状况正适合你。

问题就是，讨论这些并不是“巨婴”，正式看穿了“推广 IPv6 ”背后的司马昭之心才这么说的。

看了前面楼层关于安全的回复，你就知道他们对安全的理解多么差。 你要懂得怎么设定家庭路由，才能保证家里的嵌入设备安全，你应该不希望你那台带摄像头的电视因为有了 v6 公网地址而被人利用吧？

宽带路由器即便成为桥接，也回提供防火墙吧。

不过 OpenWRT 之类的路由，规则都是基于 Zone 的安全策略
不管是 ipv6 还是 ipv4 都有默认安全的防火墙规则哦

@t6attack v6 地址太多，你扫不过来~而且临时地址随时变化

嵌入式设备的安全问题不是硬件厂家的责任吗

论路由器网关之类的重要性，不过你家装个监控什么分配外网 IP 一个也不太好，感觉这时候应该网关 ＋ VPN，当然我现在还没分配到 IP v6