過濾ipv6
2.1 與ipv4之間的異同
ipv6 與ipv4的標頭之間有一些的差異因此在設計過濾器的時候這需要被考慮進來。由於ipv6的封包標頭已經被簡化過了所以在這個層級做過濾變得更簡單,但在 ipv4選擇性標頭的部分,過濾器在實作的時候並沒有考慮到。因此,確定ipv6延伸標頭有無正確的被過濾是一件重要的事情。
事實上延伸標頭總是包含了開頭的兩個位元組,用以說明下乙個延伸之起始點與長度 (但新的延伸可能用不同的方式設計,因此這規則不是延伸的必須條件),這讓基本的封包過濾變得十分簡單,幾乎可以直接從ipv4那而抄過來(如果延伸不被考慮的話)。上層的協議不需要改變,除了延伸的處理之外,過濾(基本與狀態檢視)應該會維持不變。縱使延伸標頭並不預期有固定的長度與有位置固定次一標頭,不過保持既有的實作方式將會是個好主意,這樣處理起來會比較簡單。不過上面引用的規則(兩個位元組包含長度與起始位置)有個顯著的例外就是esp延伸標頭。
2.2 ipv6所帶來的挑戰
因為ip過濾所出現的其它議題也是ipv6所關心的。其中最大的是:端對端連線與行動能力。除了這兩個重點外,事實上ipsec也是ipv6必要的服務,他將會需要特別的處理,同時也會是個問題所在。
2.2.1 端對端連線
2.2.2 行動能力
行動能力將會當作ipv6的乙個新應用。他將會帶來過濾上的困難,因為對過濾器來說網路變的分散。甚至乙個外地的主機看起來都會是本地的。除了這些行動能力機制本身的安全性(保護binding 更新)之外,在防火牆上面將要需要實做出可以「感知移動」的過濾器。行動能力的網際網路提案非常的長(見[mobility]來得知ipv6環境中行動能力的資訊)。主要的問題就是要確定防火牆可以看見乙個移動節點而且不能把它當成外地的。有個能讓連線家**進來的解決辦法就是弄一台能分析協議而且可以給予授權的防火牆。
2.2.3 ipsec
ipsec是ipv6必須的功能,但他也廣泛的用在ipv4的世界裡。今天主要的問題在於 ipsec主要用在vpn的環境之中的兩個閘道器器之間。在端對端的情況中沒有用到ipsec。如果ipsec要在ipv6的環境中使用,在
加密通道中傳遞的資訊與如何過濾他是必須解決的根本性問題。乙個加密的通道允許任何使用者跳過安全性政策的檢查。要讓ipsec端對端的安全性擴充套件到所有網路必須先解決過濾ipsec加密通道的問題。解決這問題的辦法可能是下列幾個:
- 在防火牆打斷鏈結。這將會有兩個加密通道,乙個是從內部主機到防火牆,另乙個是從防火牆到遠端主機。這個方法主要的問題就是會打破端對端模式。
- 集中ipsec的管理在乙個工作站上,這工作站可以控制網路中每部主機ipsec的行為。
2.2.4 路徑mtu探查
路徑mtu探查[pmtu disc.]是ipv6乙個非常重要的特徵(他在ipv4就有了,不過很少用)。ipv6封包不像ipv4可以被中介路由器分割。只有在**主機才允許分割封包。但如果分割的大小不適合,**主機必須知道在往目的主機路上的最小mtu。為了達到這個目標,**主機會使用路徑mtu探查,他使用了 icmpv6的封包過大(packet too big)[icmpv6]訊息來找出最小的mtu在往目的主機的路上。擋住icmpv6將會導致路徑mtu探查無法正確動作,且傳送主機可能會無法到達某些目的地。這icmpv6的問題與icmpv4的問題相同,可以辨識出與鏈結有關的icmp訊息且可以處理新的icmpv6訊息的狀態過濾器將被實作出來。
3 ipv4的防火牆模型依然適用於ipv6嗎?
ipv4的防火牆模型已用了十餘年之久。每個人都能想到的最大問題也許是這模型該被淘汰,ipv6應該用新的。這是真的,而且新的應用程式會讓ipv6變得十分不同,該是時候來想想新的模型了。目前ipv4的模型是集權式的,只有乙個執行點(防火牆本身)。最好的方法可能是有乙個比較分散的架構。像是steven m. bellovin在[bellovin]提出的架構。這個構想是把防火牆的功能分散在每一部主機上,並且集中在一點管理,使用ipsec與專屬的管理協議。
這模型看來很有趣,不過不可能在短期內達成。需要完成許多開發與測試,而且要確定這樣的通訊可以標準化,因此開發與測試的時間還得加上標準化的時程。
由於有巨大的位址空間,另乙個過濾應用程式的解決辦法可以是讓每個應用程式使用乙個ipv6的位址。那么每個列在網路上的應用程式都會有他專屬的位址。美國國防部正在研究這個解決方法。如果他能成真那么ip過濾將會以過濾位址為基礎而非以過濾埠為基礎,這將讓過濾更為簡單。ipv4防火牆模型將會再流行一陣子,直到有個人提出了乙個更棒的解決辦法,像是更分散的架構。任何新架構都必須能應付所有2.2節當中ipv6所帶來的挑戰。
4 誰在做什么
雖然ipv6的防火牆市場跟ipv4的比起來是小的多(有一些顯著的理由),不過有些廠商正要或已經開始提供ipv6過濾的解決辦法。ipv6過濾至少在
思科的路由器中已經有提供,以及一些日本的廠商,例如日立(見[hitachi])。juniper networks的路由器產品也支援ipv6過濾。checkpoint在2023年九月也宣布他們準備要提供ipv6的防火牆。思科在這年的11月將會提供延伸的acl在他們的ios當中,且也將展開ipv6 cbac(context base access control)與cisco
pix防火牆的開發工作。6wind(見[6wind])公司提供了乙個完整的防火牆與過渡到ipv6的
解決方案。
IPv6防火牆安全 新協議帶來的問題
本文介紹了ipv6的頭結構和ipv6防火牆對安全的影響。ad 企業在廣域網 wan 中部署 ipv6,接著也會部署ipv6防火牆。本文介紹了一些由ipv6引起的安全問題,以及it專業人員在部署和運營ipv6防火牆時應該考慮的問題。引入ipv6防火牆 大多數企業網路的第一道防線都是防火牆,它用於防禦公...
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...
IPv6技術 什麼是IPv6
ipv6技術 1 引言 ipv4位址即將耗盡,因此需要移轉至ipv6的討論,過去數年來一直不曾中斷。ipv4和ipv6在報文結構 報文字段意義以及位址配置諸多方面都有顯著的不同,這給從ipv4到ipv6過渡時期internet的運作帶來了極大的困難。當前接入網技術上幾乎所有的應用都是構建在ipv4上...