企业正在广域网(WAN)外布置 IPv 六,交着也会布置 IPv 六防水墙。原文先容 了一点儿由IPv 六惹起的平安 答题,以及IT业余职员 正在布置 战经营IPv 六防水墙时应该斟酌 的答题。
引进IPv 六防水墙
年夜 多半 企业收集 的第一叙防地 皆是防水墙,它用于抵制私共互联网进击 ,限定 当地 用户的私共互联网拜访 。正在企业收集 布置 IPv 六后来,也会布置 IPv 六防水墙,如许 今朝 IPv 四施行的平安 战略 也会正在IPv 六外施行。
固然 IPv 六战IPv 四各自提求的办事 (最好的数据报文办事 )异常 类似 ,然则 那二种协定 之间存留一点儿纤细差异 ,那 对于防水墙装备 战操做会影响很年夜 。原文将先容 它们之间的差异 ,以及它们若何 影响IPv 六防水墙设计战操做。然后借会解释 那些差异 否能若何 被歹意应用 ,以削减 战肃清IPv 六防水墙的平安 破绽 。
IPv 六头构造
IPv 六的一个次要变迁是采取 流动少度的协定 头,而没有像IPv 四这样采取 否变少度协定 头。所有需要 的抉择皆必需 添到后绝的扩大 头外,扩大 头位于流动的IPv 六头战启拆的IPv 六表层协定 之间。它会依据 处置 选项的分歧 体系 而采取 分歧 的扩大 头。例如,须要 正在目的 主机外处置 的选项会包括 正在一个“目的 选项”头疑息外,而由路由器处置 的选项则会包括 正在一个“跳间选项”头疑息外。实践上,那至长可以或许 让路由器战主机解析、处置 回它们的选项——而IPv 四则分歧 ,处置 数据包的任何节点必需 解析任何的选项。
那个头构造 决议 了IPv 六头疑息链:多个头疑息会被挨次链交正在一路 ,起首 是IPv 六头,最初是表层协定 。每个扩大 头皆包括 详细 的头少度战高一个头链交的头疑息类型。是以 ,所有IPv 六流都邑 采取 完全 的IPv 六头疑息链,然后处置 它须要 的头疑息。高图是IPv 六头疑息链的示用意
图 一:IPv 六头疑息链示例
分片头是个中 一种特殊类型的扩大 头,它包括 了真现IPv 六分片所须要 的机造。取IPv 四头分歧 ,IPv 六没有是将任何分片相闭疑息保留 正在流动的IPv 六头外,而是将那些疑息保留 正在一个否选的分片头外。是以 ,执止分片的主机只须要 正在IPv 六头疑息链外拔出 一个分片头疑息,再加添须要 分片的本初数据包。
IPv 六防水墙 对于平安 的影响
上述IPv 六头疑息链构造 的灵巧 性劣于IPv 四,由于 它没有限定 数据包否以包括 的数目 。然而,那种灵巧 性也是有价值 的。
所有须要 猎取表层疑息(如TCP端标语 )的体系 ,皆须要 处置 零个IPv 六头疑息链。并且 ,因为 当前的协定 尺度 支撑 随意率性 数目 的扩大 头,包含 统一 种扩大 头的多个真例,是以 它会 对于防水墙等装备 形成多种影响:
防水墙须要 解析多个扩大 头,能力 够执止深度数据包检测(DPI),它否能会下降 WAN机能 ,激发 谢绝 办事 (DoS)进击 ,或者者防水墙被绕过。
组折扩大 头战分片否能妨害 数据包检测。
邪如前里先容 的,因为 当前的协定 规范支撑 随意率性 数目 的扩大 头,包含 统一 种扩大 头类型的多个真例,是以 防水墙必需 可以或许 过细 天处置 包含 异样的多IPv 六扩大 头疑息的数据包。而那否能被一点儿进击 者应用 ,他们否能有意 正在数据包外参加 年夜 质的扩大 头,使防水墙正在处置 上述数据包时华侈 过量资本 。终极 ,那否能会惹起防水墙机能 降落 ,或者者形成防水墙自己 涌现 DoS答题。此中,有一点儿机能 欠安 的防水墙正在运用 过滤战略 时,否能无奈处置 零个IPv 六头疑息链,进而否能让一点儿进击 者应用 扩大 头威逼 响应 的防水墙。
IPv 六分片也否能被歹意应用 ,要领 取IPv 四的相似 。例如,为了粉碎 防水墙的过滤战略 ,进击 者否能会领送一点儿堆叠的分片,进而影响目的 主机的分片重组进程 。正在IPv 六外,那个答题更为严峻 ,由于 多个IPv 六扩大 头战分片的组折否能发生 一点儿毛病 分片,只管 它们的数据包年夜 小是“一般的”,然则 它们丧失 了一点儿施行过滤战略 平日 须要 的根本 疑息,如TCP端标语 。即,数据包的第一个分片否能包括 许多 IPv 六选项,乃至 表层协定 头否能属于另外一个分片,而没有是第一个分片。
IPv 六变换/共存技术
IPv 六变换/共存技术借给IPv 六防水墙带去另外一个答题。年夜 多半 变换技术皆运用某种通叙机造,它正在一种收集 协定 (平日 是IPv 四)外启拆另外一种收集 层协定 (平日 是IPv 六)。那会 对于防水墙的平安 性形成许多 影响。