Lý do lớn nhất mà tôi biết? ipv6. Một phần lớn lý do IPv6 được đề xuất là để giải quyết vấn đề cạn kiệt địa chỉ của IPv4 và loại bỏ 'hack xấu xí' đó là tự nhiên. Do sự kết hợp IPv4+NAT, quá nhiều người tự động cho rằng bức tường lửa == tự nhiên đó không phải là trường hợp. Gần như tất cả các tường lửa đều có thể thực hiện NAT, nhưng không phải tất cả các giải pháp NAT đều có thể thực hiện được tường lửa.
IPv6 giả sử một mạng chưa được che giấu, gây ra một số vấn đề với những người đã quen với mọi thứ được che đậy. Trong mạng IPv6, bạn sẽ an toàn hơn nhiều khi cho rằng địa chỉ IPv6 'công khai' không đảm bảo khả năng định tuyến.
Nhưng nó không chỉ là IPv6. Trường đại học tôi từng làm việc có phân bổ /16 IPv4 khi tôi làm việc ở đó. Họ có máy tính để bàn có địa chỉ IP 'công khai' trên đó. Tuy nhiên, chúng vẫn có tường lửa vì tường lửa của chúng tôi đang hoạt động ở chế độ 'trong suốt'. Chúng tôi đã có không gian địa chỉ, tại sao không? Nó cũng làm cho một số trường hợp sử dụng nhất định dễ xử lý hơn mà không cần phải chơi các trò chơi chuyển tiếp cổng NAT và gán ip công khai.
Nếu định nghĩa của bạn về tính trong suốt có nghĩa là dịch vụ bảo mật L2, thì các trường hợp sử dụng phổ biến ngay cả trong các mạng IPv4.
- Nhóm bảo mật AWS hoạt động như thế này vì ec2, Virtual Private Cloud và các dịch vụ khác.
- Nhóm bảo mật Azure hoạt động tương tự.
- Tôi đã làm việc với nó được một thời gian, nhưng tôi tin rằng các mạng VMWare ESX cũng có tùy chọn tương tự.
Các hệ thống này là cốt lõi của an ninh mạng trong các nhà cung cấp đám mây công cộng lớn. Bạn xác định danh sách các quy tắc cho phép/từ chối và chúng áp dụng cho tài nguyên. Trong AWS, đây là giao diện của phiên bản EC2, Lambda hoặc dịch vụ khác. Tường lửa không tồn tại trên hộp như iptables, nhưng bên dưới máy ảo. Điều này làm cho nó trở thành một thiết bị L2 trong suốt.
