Skip to main content

7. 安全考虑 (Security Considerations)

使用私有地址空间具有以下安全影响:

7.1 网络隐蔽性 (Network Obscurity)

私有地址不在公共互联网上路由,这提供了一定程度的"隐蔽性安全"。内部网络拓扑对外部攻击者不可见,这可能会增加攻击难度。然而,这不应被视为主要的安全机制,因为"隐蔽性"本身不是真正的安全。

7.2 地址欺骗 (Address Spoofing)

边界路由器必须配置为过滤掉来自外部且声称来自私有地址空间的数据包,因为这些显然是伪造的。同样,应该过滤掉从内部网络发出但目标地址在私有地址空间范围内且试图路由到外部的数据包。

7.3 防火墙配置 (Firewall Configuration)

使用私有地址空间的企业应该在其安全架构中考虑以下因素:

  • 防火墙规则应明确处理私有地址空间
  • NAT 设备应该被视为安全边界的一部分
  • 应该实施适当的日志记录和监控

7.4 DNS 安全 (DNS Security)

如果不正确配置,私有地址可能会泄漏到公共 DNS 中,导致:

  • 信息泄露
  • 潜在的 DNS 缓存投毒攻击
  • 配置错误和连接问题

因此,必须仔细管理 DNS 配置以防止私有地址信息泄漏。

7.5 内部威胁 (Internal Threats)

私有地址空间不提供对内部威胁的保护。企业仍然需要实施适当的内部安全控制,如访问控制列表 (ACL)、身份验证和授权机制。

Last updated on