圖2:一個(gè)使用Teredo的TCP/IPv6數(shù)據(jù)包示例
這個(gè)數(shù)據(jù)包的結(jié)構(gòu)可能會(huì)變得更復(fù)雜�,例如,如果內(nèi)外數(shù)據(jù)包都分片了���。
可能的IPv6安全問(wèn)題
顯然�����,為了應(yīng)用IPv6數(shù)據(jù)包過(guò)濾策略,防火墻至少必須支持整個(gè)IPv6頭信息鏈的處理��。理想情況下���,這些防火墻還應(yīng)該支持IPv6轉(zhuǎn)換技術(shù)�����,這樣應(yīng)用于原生IPv6流量的過(guò)濾策略可以同樣應(yīng)用到轉(zhuǎn)換流量上��。也就是說(shuō)��,防火墻應(yīng)該有一個(gè)“默認(rèn)拒絕”策略�����,這樣防火墻就能夠阻擋您不需要的流量,如轉(zhuǎn)換流量�。
對(duì)于可能利用多擴(kuò)展頭的資源耗盡攻擊,在防火墻上限制一個(gè)IPv6數(shù)據(jù)包支持的最大擴(kuò)展頭數(shù)量可以解決這個(gè)問(wèn)題���。合理的限制是允許每一個(gè)當(dāng)前定義的擴(kuò)展頭只出現(xiàn)一個(gè)實(shí)例�����。然而��,也可以使用“16”等其他限制值——例如���,OpenBSD就采用這個(gè)限制值���。這種限制允許合法流量,但不允許異常多數(shù)量的擴(kuò)展頭�����。超過(guò)限制的數(shù)據(jù)包必須丟棄�。雖然這可能會(huì)影響性能,但是能夠防止DoS�����。
最后���,規(guī)定在IPv6報(bào)文的第一個(gè)分片中包含應(yīng)用數(shù)據(jù)包過(guò)濾策略所需要的完整數(shù)據(jù)包頭信息��,能夠應(yīng)付使用分片的防火墻繞行技術(shù)�����。也就是說(shuō)��,在防火墻接收到的報(bào)文第一個(gè)分片中�����,如果不包含完整的上層協(xié)議頭信息��,如TCP頭����,那么這個(gè)數(shù)據(jù)包就會(huì)被丟棄。防火墻繞行技術(shù)還可以在應(yīng)用過(guò)濾策略之前����,通過(guò)在防火墻中重新組合分片的報(bào)文來(lái)解決。然而���,對(duì)于基于網(wǎng)絡(luò)的防火墻而言��,至少這并不是一種推薦的方法,因?yàn)樗赡軙?huì)留下DoS漏洞�。
解決IPv6防火墻問(wèn)題
正如本文所介紹的,IPv6防火墻面臨許多問(wèn)題,但是它們可以通過(guò)合理的防火墻設(shè)計(jì)和操作解決���。在購(gòu)買防火墻設(shè)備時(shí)���,必須對(duì)IPv6防火墻支持仔細(xì)評(píng)估,因?yàn)椴煌a(chǎn)品的支持差別很大�����,支持不佳的防火墻可能會(huì)對(duì)企業(yè)網(wǎng)絡(luò)安全造成負(fù)面影響��。
