Nein. Weder die Windows-Firewall noch die Firewall eines kompetenten Routers ist "alles oder nichts".
Von Heimanwendern wird im Allgemeinen erwartet, dass die Windows-Firewall auf das private Profil gesetzt wird, wenn sie mit ihrem Heimnetzwerk verbunden sind
Der "Private" -Modus erlaubt eigentlich nicht alle Verbindungen von überall : Die meisten Standardregeln sind auf "Dieses Subnetz" beschränkt, was für IPv6 bedeutet, dass auch in diesem Modus nur andere Hosts innerhalb derselben / 64-Klasse (z. B. nur Ihr Heimnetzwerk) wird akzeptiert. Ausländische Verbindungen bleiben gesperrt.
(Beachten Sie auch, dass die integrierte Windows-Firewall über höhere Schichten als nur TCP-Ports Bescheid weiß: Sie kann auch den Zugriff auf einzelne RPC-Dienste einschränken, auch wenn diese über einen gemeinsam genutzten Port ausgeführt werden. Dies bedeutet auch, dass der Zugriff auf die SMB-Dateifreigabe nicht möglich ist. t zwingend automatisch RPC-über-SMB-Zugriff.)
Es gibt Ausnahmen, dass "das gleiche Subnetz" standardmäßig verwendet wird (z. B. Remote Desktop ist weit geöffnet, da MS NLA vertraut), aber diese können leicht geändert werden wf.msc.
Das führt zum zweiten Grund: Selbst wenn das Profil schlechte Standardeinstellungen hatte, ist die Verwendung von zwei anpassbaren Profilen an sich ein nützliches Feature für viele fortgeschrittene Benutzer (die immer noch in der Lage sind, benutzerdefinierte Regeln für verschiedene Sicherheitsstufen zu konfigurieren).
Bei IPv4 gibt es normalerweise NAT, das als Firewall fungiert.
NAT fungiert nicht als Firewall. es wird zusätzlich zu einer Firewall verwendet. Ja, könnte man sagen, dass es eine zusätzliche Schicht gegen entfernte Angreifer ermöglicht - aufgrund von privaten LAN - Adressen unroutable im Internet zu sein - aber das hat nichts mit dem tatsächlichen Paket zu tun Filterung, die eine Firewall tut.
Wenn Sie nur NAT, aber keine andere Form der Paketfilterung haben, haben Ihre unmittelbaren WAN-Nachbarn immer noch Möglichkeiten, mit nur einem einzigen in Ihr LAN zu gelangen ip route add.
Einige Router (einschließlich meines) verfügen über eine "IPv6-Firewall", durch die der gesamte eingehende IPv6-Verkehr einfach verworfen wird. Wenn ich jedoch mindestens einen eingehenden Port für eine Anwendung öffnen möchte (z. B. Remote Desktop), habe ich keine andere Wahl, als alles für jeden zugänglich zu machen.
In der Firmware Ihres Routers ist das dann ein bedeutender Fehler. Wenn die Firewall benutzerdefinierte Regeln zum Zulassen von "Alle zulassen" für eingehende IPv4-Regeln unterstützt, gibt es keinen Grund, warum die gleichen Regeln für IPv6 nicht unterstützt werden können.
Sowohl in IPv4 als auch in IPv6 ist es für einen Router einfach, eine Firewall zu implementieren, die eingehende Verbindungen nur zu einem bestimmten Host und / oder nur zu einem bestimmten Port durchläuft. Die meisten Heimrouter implementieren nicht einmal ihre eigenen. Sie liefern Standard-Linux-Iptables, so dass sie keine Entschuldigung haben.
Wenn Sie ganz sicher, dass Ihr Router sind keine benutzerdefinierter IPv6 Regeln anbietet (sie werden könnte, genannt „virtueller Server“ oder „Port - Forwarding“ trotz nicht beteiligt DNAT), ob es ein Firmware - Update zur Verfügung steht.