IPv6私网与链接本地网段治理（fc00/fe80/环回）最佳实践

---

title: IPv6私网与链接本地网段治理（fc00/fe80/环回）最佳实践

keywords:

• IPv6
• fc00::/7
• fe80::/10
• ::1
• 链路本地

description: 通过识别与阻断IPv6的私网、链接本地与环回网段（fc00/fe80/::1），补齐SSRF与出口治理的IPv6维度防护。

categories:

• 文章资讯
• 编程技术

---

背景与价值

SSRF与出口治理常忽略IPv6。识别并阻断私网、链接本地与环回网段可提升全面性。

统一规范

• 私网：阻断 fc00::/7（ULA）。
• 链路本地：阻断 fe80::/10。
• 环回：阻断 ::1/128。

核心实现

IPv6前缀判定（简化）

function normalizeIpv6(ip: string): string { return ip.toLowerCase() }

function starts(n: string, p: string): boolean { return n.startsWith(p) }

function isIpv6Blocked(ip: string): boolean {
  const n = normalizeIpv6(ip)
  return n === '::1' || starts(n, 'fc00') || starts(n, 'fd00') || starts(n, 'fe80')
}

落地建议

• 在出口治理与SSRF防护中纳入IPv6网段判定并统一阻断。
• 结合IPv4私网判定，实现双栈一致的安全策略。

验证清单

• 是否屏蔽 fc00::/7/fe80::/10/::1 目标；双栈策略是否一致。