是的，在没有任何补偿控制或替换过滤的情况下禁用防火墙是很危险的。确实，IPv6 的 Internet IP 地址索引器要涵盖的内容要多得多，但它确实发生了。Sans 有这方面的文章。

这里的问题之一是 IPv6 允许对内部设备进行直接攻击。不使用 NAT（至少这是 ipv6 的意图），因此攻击者不会首先发现路由器，而是尝试在内部直接向设备发送消息。

尽管对攻击 ipv6 的关注较少，但它肯定正在发生。在我的日常工作中，我们在基于 ipv4 的内部网络上寻找 ipv6 作为后膛标志。

建议回答“如果我因为想使用它而关闭 ipv6 的完全阻止，那该怎么办？” 将是通过一个 pfsense 框。这是一篇文章。https://blog.joelj.org/setting-up-pfsense-with-ipv6/ 这将只允许您希望暴露在互联网上的设备和服务打开，而不是您网络上的所有设备，其中一些可能存在漏洞或错误配置。

我的观点是禁用防火墙并不危险。但是，还是有点不明智。

自 2014 年以来（如果我没记错的话）我一直在没有任何防火墙的情况下直接连接 IPv6，但从未尝试使用 IPv6，即使主要设备位于地址 ::1 和 ::10 中。对于 IPv4，它一直在发生，尝试 SSH，尝试 HTTP 漏洞，尝试常见的用户名和密码等。我使用 fail2ban，另外我将一堆大的 /12 ... /16 IPv4 块路由到 /dev/null 因为它们对我没用。如果没有这些，来自 IPv4 尝试的日志行数将远高于每天 100.000。但如前所述，IPv6 从来没有。

我并不是说 IPv6 尝试不会到来。但我认为 IPv6 更难被黑客入侵，因为它拥有万亿大小的地址空间。

如果我需要自己闯入 /64 IPv6 子网，我不知道从哪里开始。也许我应该首先使用其他方式（关于支持的假电话？）来查找该目的地的设备，以便能够猜测 MAC 地址的范围和计算出的 IPv6 地址，而不是随机拍摄 2^64 块。或者专注于已知供应商具有某些漏洞的此类供应商 MAC 地址。