IPv6 の世界でホストを保護するにはどうすればよいでしょうか?

IPv6 の導入はまだ先のことだとは思いますが、時代の先を行くために、また単に楽しみのために、基本を理解しようとしています。

IPv6 を使用した通信は問題ありません。問題なく動作します。しかし、内部ネットワークをどのように保護すればよいかわかりません。

私のルーターのこのスクリーンショットを見てみましょう。「着信 IPv6 接続をブロックする」オプションをチェックしました (デフォルトではチェックされていません)。

http://imgur.com/imrXyLD

予想通り、ルータは内部ホストへのすべてのIPv6受信接続をブロックしました。私はこれをWebベースのポートスキャナで確認しました。しなかった予想していたのは、内部ホストで実行されるピアツーピアアプリケーションが、NAT-PMPを介してルータにポートを一時的に開くように指示することができなくなったことです。再度、ポートスキャナを使用してこれを検証しました。IPv6経由でBitTorrentのポートへの接続は許可されませんでした（「lsof」で確認されたようにIPv6でリッスンしているにもかかわらず）が、接続は許可されました。だったNAT-PMP マッピングが成功したため、IPv4 アドレスで許可されました。

そこで次に試したのは、ルーター レベルで「着信 IPv6 接続をブロックする」ボックスのチェックを外し、代わりにホスト レベルでファイアウォール ポリシーを適用することでした。これはうまくいきました。BitTorrent は着信 IPv6 接続を受信できました。しかし、セキュリティ上の大きな欠点があります。ホストのファイアウォール構成画面の次のスクリーンショットを参照してください。

http://imgur.com/imrXyLD,Cdp310a#1

ここで、BitTorrent が一時ポートを正常に開いたことがわかります。また、ファイル共有やその他の重要な内部サービスも接続を待機していることがわかります。また、簡単な IPv6 ポート スキャンにより、これらの重要な内部サービスがインターネットに完全に公開されていることが明らかになりました。明らかに、これは私が望んでいることではありません。

ファイアウォール レベルで [着信 IPv6 接続をブロックする] チェックボックスをすばやく再チェックし、実験を終了しました。しかし、IPv6 の世界で内部ネットワークをセキュリティ保護する方法については、まだわかりません。ルーター レベルでロックダウンする必要があるのでしょうか (ただし、アプリはどのようにしてポートを動的に開くのでしょうか。UPnP と NAT-PMP は適用されなくなったのでしょうか)。または逆に、ルーターがトラフィックを通過できるようにして、内部ホスト レベルでセキュリティを適用するのでしょうか (ただし、内部サービスをインターネットから保護するにはどうすればよいでしょうか)。