详细介绍IPv6、IPv4防火墙的区别
一个网格的不用说防火墙,第一道防线是网络防火墙,这是用于防御的公共互联网的攻击,限制访问公共互联网的本地用户,随着IPv6的出现,对防火墙的一个新的要求,而IPv6和IPv4的服务非常相似,但21协议之间存在一些细微的差别,这会对防火墙设备和操作的影响。一个IPv6的主要变化是固定长度的协议头,使用不同于IPv4,采用可变长度的协议头,任何必要的选择必须添加到后续的延伸与扩展头部,头部位于固定IPv6头和封装上的IPv6协议之间。它采用基于处理选项不同的系统,不同的扩展名。例如,需要在目标主机的期权交易将包括在目标;选项;头信息,并通过路由器处理选项将包括在选项;跳头信息。在理论上,它至少可以让路由器和主机解析他们的选择和过程mdash;mdash,而IPv4是不同的处理数据包的所有节点必须解决所有选项。
第二,这个报头结构决定了IPv6报头信息链:多个报头信息依次链接在一起,第一个IPv6头,最后是上层协议,每个扩展包含一个特定的报头长度和下一个报头链接的头信息类型。
因此,任何IPv6流都将采用一个完整的IPv6报头信息链,然后处理它需要的报头信息。分割是一种特殊类型的扩展头,它包含实现IPv6碎片化所需的机制。
与IPv4头不同,IPv6不将所有切片相关信息存储在固定IPv6头中,而是将这些信息存储在一个可选的片段中,因此,执行该片的主机需要在IPv6报头信息链中插入报头信息,然后添加需要拼凑的原始数据包。
三。任何需要得到上层的信息系统(如TCP端口号)需要处理整个IPv6头信息链。此外,由于当前头协议的扩展支持多实例的任意号码,包括相同的扩展头,因此会造成各种设备如防火墙的作用,防火墙解析多个扩展头,可以进行深度数据包检测(DPI),它可以减少广域网的性能,关闭服务(DoS)攻击,或绕过防火墙。
四,因为当前的协议规范支持任意数量的扩展头,包括相同扩展头类型的多个实例,防火墙必须能够处理包含异常IPv6的数据包并扩展头信息,这可能会被一些攻击者利用。他们可能有意地向包中添加大量的扩展,这使得防火墙在处理上述数据包时浪费了太多的资源。
最终,这可能会导致在防火墙的性能下降,或导致在防火墙DoS问题。此外,一些表现不佳的防火墙可能无法应对整个IPv6头信息链应用过滤策略时,这可能会使一些攻击者扩展头威胁相应的防火墙。
五,IPv6片段也可能被恶意使用,其方法与IPv4相似,例如,为了破坏防火墙的过滤策略,攻击者可能会发送一些重叠的片段来影响目标主机的碎片化进程。
在IPv6中,这个问题更为严重,因为多个IPv6扩展头和碎片的组合可能会有一些不正确的片,虽然他们的数据包大小为正常然而,他们失去了一些基本的信息过滤策略通常是需要的,如TCP端口号,一个数据包的第一层可能包含很多IPv6选项,使高层协议头可能属于另一片一片,不。
六,IPv6转换共存技术给IPv6防火墙带来了另一个问题,大多数转换技术使用的是一种信道机制,它在网络协议(通常是IPv4)中封装另一个网络层协议(通常是IPv6),这将对防火墙的安全产生很大的影响。防火墙不能识别特定的转换技术,也可能无法使用一些过滤策略的本地IPv6流量支持。例如,使用本地IPv4或本地IPv6时,一个网站可以阻止数据包的TCP端口25,但在部署Teredo转化机制,它可能不能够阻止这些数据包。
七、转换技术可能加剧的问题,不仅因为包装流程可以结合使用IPv6扩展头片,其他向外发送的数据包(通常是IPv4)还可以分割,因此将大大增加最终流动的复杂性,这种复杂性不仅会降低网络流量传输速度,但更严重的是,它也可能影响防火墙过滤策略。例如,防火墙可能无法处理整个头信息链,使TCP碎片无法找到。
为了应用IPv6包过滤防火墙处理策略,至少必须支持整个IPv6头信息链,理想情况下,防火墙也应该支持IPv6转换技术,这种过滤策略适用于本地IPv6流,同样适用于转换流。
也就是说,防火墙应该有一个默认的拒绝,这样防火墙就可以阻止你不需要的流量,比如转换流量。