7. 安全考量 (Security Considerations)

使用私有地址空间具有以下安全含义:

7.1 网络模糊性 (Network Obscurity)

私有地址不在公共互联网上路由, 这提供了一定程度的"通过模糊性实现安全"。内部网络拓扑对外部攻击者不可见, 这可能增加攻击的难度。但是, 这不应被视为主要的安全机制, 因为"模糊性"本身不是真正的安全。

7.2 地址欺骗 (Address Spoofing)

边界路由器必须配置为过滤掉来自外部声称来自私有地址空间的数据包, 因为这些显然是伪造的。同样, 来自内部网络的目的地址在私有地址空间范围内试图向外路由的数据包也应被过滤。

7.3 防火墙配置 (Firewall Configuration)

使用私有地址空间的企业在其安全架构中应考虑以下因素:

• 防火墙规则应明确处理私有地址空间
• NAT 设备应被视为安全边界的一部分
• 应实施适当的日志记录和监控

7.4 DNS 安全 (DNS Security)

如果配置不当, 私有地址可能泄漏到公共 DNS 中, 导致:

• 信息泄露
• 潜在的 DNS 缓存中毒攻击
• 配置错误和连接问题

因此, 必须仔细管理 DNS 配置以防止私有地址信息泄漏。

7.5 内部威胁 (Internal Threats)

私有地址空间不能防止内部威胁。企业仍然需要实施适当的内部安全控制, 如访问控制列表 (ACL)、认证和授权机制。