IPv6私网与链接本地网段治理（fc00/fe80/环回）最佳实践

背景与价值

SSRF与出口治理常忽略IPv6。识别并阻断私网、链接本地与环回网段可提升全面性。

统一规范

• 私网：阻断 `fc00::/7`（ULA）。
• 链路本地：阻断 `fe80::/10`。
• 环回：阻断 `::1/128`。

核心实现

IPv6前缀判定（简化）

function normalizeIpv6(ip: string): string { return ip.toLowerCase() }

function starts(n: string, p: string): boolean { return n.startsWith(p) }

function isIpv6Blocked(ip: string): boolean {
  const n = normalizeIpv6(ip)
  return n === '::1' || starts(n, 'fc00') || starts(n, 'fd00') || starts(n, 'fe80')
}

落地建议

• 在出口治理与SSRF防护中纳入IPv6网段判定并统一阻断。
• 结合IPv4私网判定，实现双栈一致的安全策略。

验证清单

• 是否屏蔽 `fc00::/7/fe80::/10/::1` 目标；双栈策略是否一致。