背景与价值 SSRF与出口治理常忽略IPv6。识别并阻断私网、链接本地与环回网段可提升全面性。 统一规范 - 私网:阻断 `fc00::/7`(ULA)。 - 链路本地:阻断 `fe80::/10`。 - 环回:阻断 `::1/128`。 核心实现 IPv6前缀判定(简化) ```ts function normalizeIpv6(ip: string): string { return ip.toLowerCase() } function starts(n: string, p: string): boolean { return n.startsWith(p) } function isIpv6Blocked(ip: string): boolean { const n = normalizeIpv6(ip) return n === '::1' || starts(n, 'fc00') || starts(n, 'fd00') || starts(n, 'fe80') } ``` 落地建议 - 在出口治理与SSRF防护中纳入IPv6网段判定并统一阻断。 - 结合IPv4私网判定,实现双栈一致的安全策略。 验证清单 - 是否屏蔽 `fc00::/7/fe80::/10/::1` 目标;双栈策略是否一致。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复