IPV6与防火墙
来源:互联网 发布:潍坊行知学校2017收费 编辑:程序博客网 时间:2024/04/27 02:22
过滤IPv6
2.1 与IPv4之间的异同
IPv6 与IPv4的标头之间有一些的差异因此在设计过滤器的时候这需要被考虑进来。由于IPv6的封包标头已经被简化过了所以在这个层级做过滤变得更简单,但在 IPv4选择性标头的部分,过滤器在实作的时候并没有考虑到。因此,确定IPv6延伸标头有无正确的被过滤是一件重要的事情。
事实上延伸标头总是包含了开头的两个字节,用以说明下一个延伸之起始点与长度 (但新的延伸可能用不同的方式设计,因此这规则不是延伸的必须条件),这让基本的封包过滤变得十分简单,几乎可以直接从IPv4那而抄过来(如果延伸不被考虑的话)。上层的协议不需要改变,除了延伸的处理之外,过滤(基本与状态检视)应该会维持不变。纵使延伸标头并不预期有固定的长度与有位置固定次一标头,不过保持既有的实作方式将会是个好主意,这样处理起来会比较简单。不过上面引用的规则(两个字节包含长度与起始位置)有个显着的例外就是ESP延伸标头。
2.2 IPv6所带来的挑战
因为IP过滤所出现的其它议题也是IPv6所关心的。其中最大的是:端对端连接与行动能力。除了这两个重点外,事实上IPsec也是IPv6必要的服务,他将会需要特别的处理,同时也会是个问题所在。
2.2.1 端对端连接
今天IPv6的拥护者所持的主要信念就是“端对端连接”,同时他也是网际网络早年的信念。但是当网际网络成为商业化的产物之后,所需的安全性与私密性让防火墙受采用。防火墙看起来必须剪断端对端连接以增强过滤与安全性政策。至少有一种协议看起来并不是“适于防火墙”的协议,那就是FTP。FTP使用两个频道来通讯,而且其中有一个可以是从服务器连到客户端的。如果不允许开启足够的埠可以从外面连接到里面防火墙将会阻断FTP通讯。相同的问题也会发生在其它的协议上。这些协议使用这种“回拨”的机制是十分有用的通讯协议特征,但需要特别设计的防火墙设备。这问题在IPv4与IPv6上面都存在。这意指许多应用程序代理服务器将要被设计成能处理所有的新协议,特别是在对等式服务的领域与游戏的领域。有两个办法可以来处理这问题。第一个是开发一种代理程序 (ALG, Application Level Gateway, 应用层网关)用于每个可能会出现的新协议。不过这办法的主要问题在于,他几乎不可能办得到,因为要这样做牵涉到的层面太广了。这办法还会有另一个问题是,慢,因为一个即将成为应用层的新网络层让网际网络将成为“七阶层”的网际网络。另外的解决办法就是实作在v6ops邮件列表(见[Carpenter]) 上面讨论的MIDCOM RFCs (见[MIDCOM])。
2.2.2 行动能力
行动能力将会当作IPv6的一个新应用。他将会带来过滤上的困难,因为对过滤器来说网络变的分散。甚至一个外地的主机看起来都会是本地的。除了这些行动能力机制本身的安全性(保护binding 更新)之外,在防火墙上面将要需要实做出可以“感知移动”的过滤器。行动能力的网际网络提案非常的长(见[Mobility]来得知IPv6环境中行动能力的信息)。主要的问题就是要确定防火墙可以看见一个移动节点而且不能把它当成外地的。有个能让连接家代理进来的解决办法就是弄一台能分析协议而且可以给予授权的防火墙。
2.2.3 IPsec
IPsec是IPv6必须的功能,但他也广泛的用在IPv4的世界里。今天主要的问题在于 IPsec主要用在VPN的环境之中的两个网关器之间。在端对端的情况中没有用到IPsec。如果IPsec要在IPv6的环境中使用,在加密信道中传递的信息与如何过滤他是必须解决的根本性问题。一个加密的信道允许任何使用者跳过安全性政策的检查。要让IPsec端对端的安全性扩展到所有网络必须先解决过滤IPsec加密信道的问题。解决这问题的办法可能是下列几个:
- 在防火墙打断连结。这将会有两个加密信道,一个是从内部主机到防火墙,另一个是从防火墙到远程主机。这个方法主要的问题就是会打破端对端模式。
- 集中IPsec的管理在一个工作站上,这工作站可以控制网络中每部主机IPsec的行为。
2.2.4 路径MTU探查
路径MTU探查[PMTU disc.]是IPv6一个非常重要的特征(他在IPv4就有了,不过很少用)。IPv6封包不像IPv4可以被中介路由器分割。只有在来源主机才允许分割封包。但如果分割的大小不适合,来源主机必须知道在往目的主机路上的最小MTU。为了达到这个目标,来源主机会使用路径MTU探查,他使用了 ICMPv6的封包过大(Packet Too Big)[ICMPv6]讯息来找出最小的MTU在往目的主机的路上。挡住ICMPv6将会导致路径MTU探查无法正确动作,且发送主机可能会无法到达某些目的地。这ICMPv6的问题与ICMPv4的问题相同,可以辨识出与连结有关的ICMP讯息且可以处理新的ICMPv6讯息的状态过滤器将被实作出来。
3 IPv4的防火墙模型依然适用于IPv6吗?
IPv4的防火墙模型已用了十余年之久。每个人都能想到的最大问题也许是这模型该被淘汰,IPv6应该用新的。这是真的,而且新的应用程序会让IPv6变得十分不同,该是时候来想想新的模型了。目前IPv4的模型是集权式的,只有一个执行点(防火墙本身)。最好的方法可能是有一个比较分散的架构。像是Steven M. Bellovin在[Bellovin]提出的架构。这个构想是把防火墙的功能分散在每一部主机上,并且集中在一点管理,使用IPsec与专属的管理协议。
这模型看来很有趣,不过不可能在短期内达成。需要完成许多开发与测试,而且要确定这样的通讯可以标准化,因此开发与测试的时间还得加上标准化的时程。
由于有巨大的地址空间,另一个过滤应用程序的解决办法可以是让每个应用程序使用一个IPv6的地址。那幺每个列在网络上的应用程序都会有他专属的地址。美国国防部正在研究这个解决方法。如果他能成真那幺IP过滤将会以过滤地址为基础而非以过滤埠为基础,这将让过滤更为简单。IPv4防火墙模型将会再流行一阵子,直到有个人提出了一个更棒的解决办法,像是更分散的架构。任何新架构都必须能应付所有2.2节当中IPv6所带来的挑战。
4 谁在做什幺
虽然IPv6的防火墙市场跟IPv4的比起来是小的多(有一些显着的理由),不过有些厂商正要或已经开始提供IPv6过滤的解决办法。IPv6过滤至少在思科的路由器中已经有提供,以及一些日本的厂商,例如日立(见[Hitachi])。Juniper Networks的路由器产品也支持IPv6过滤。Checkpoint在2002年九月也宣布他们准备要提供IPv6的防火墙。思科在这年的11月将会提供延伸的ACL在他们的IOS当中,且也将展开IPv6 CBAC(Context Base Access Control)与Cisco PIX防火墙的开发工作。6Wind(见[6Wind])公司提供了一个完整的防火墙与过渡到IPv6的解决方案。
2.1 与IPv4之间的异同
IPv6 与IPv4的标头之间有一些的差异因此在设计过滤器的时候这需要被考虑进来。由于IPv6的封包标头已经被简化过了所以在这个层级做过滤变得更简单,但在 IPv4选择性标头的部分,过滤器在实作的时候并没有考虑到。因此,确定IPv6延伸标头有无正确的被过滤是一件重要的事情。
事实上延伸标头总是包含了开头的两个字节,用以说明下一个延伸之起始点与长度 (但新的延伸可能用不同的方式设计,因此这规则不是延伸的必须条件),这让基本的封包过滤变得十分简单,几乎可以直接从IPv4那而抄过来(如果延伸不被考虑的话)。上层的协议不需要改变,除了延伸的处理之外,过滤(基本与状态检视)应该会维持不变。纵使延伸标头并不预期有固定的长度与有位置固定次一标头,不过保持既有的实作方式将会是个好主意,这样处理起来会比较简单。不过上面引用的规则(两个字节包含长度与起始位置)有个显着的例外就是ESP延伸标头。
2.2 IPv6所带来的挑战
因为IP过滤所出现的其它议题也是IPv6所关心的。其中最大的是:端对端连接与行动能力。除了这两个重点外,事实上IPsec也是IPv6必要的服务,他将会需要特别的处理,同时也会是个问题所在。
2.2.1 端对端连接
今天IPv6的拥护者所持的主要信念就是“端对端连接”,同时他也是网际网络早年的信念。但是当网际网络成为商业化的产物之后,所需的安全性与私密性让防火墙受采用。防火墙看起来必须剪断端对端连接以增强过滤与安全性政策。至少有一种协议看起来并不是“适于防火墙”的协议,那就是FTP。FTP使用两个频道来通讯,而且其中有一个可以是从服务器连到客户端的。如果不允许开启足够的埠可以从外面连接到里面防火墙将会阻断FTP通讯。相同的问题也会发生在其它的协议上。这些协议使用这种“回拨”的机制是十分有用的通讯协议特征,但需要特别设计的防火墙设备。这问题在IPv4与IPv6上面都存在。这意指许多应用程序代理服务器将要被设计成能处理所有的新协议,特别是在对等式服务的领域与游戏的领域。有两个办法可以来处理这问题。第一个是开发一种代理程序 (ALG, Application Level Gateway, 应用层网关)用于每个可能会出现的新协议。不过这办法的主要问题在于,他几乎不可能办得到,因为要这样做牵涉到的层面太广了。这办法还会有另一个问题是,慢,因为一个即将成为应用层的新网络层让网际网络将成为“七阶层”的网际网络。另外的解决办法就是实作在v6ops邮件列表(见[Carpenter]) 上面讨论的MIDCOM RFCs (见[MIDCOM])。
2.2.2 行动能力
行动能力将会当作IPv6的一个新应用。他将会带来过滤上的困难,因为对过滤器来说网络变的分散。甚至一个外地的主机看起来都会是本地的。除了这些行动能力机制本身的安全性(保护binding 更新)之外,在防火墙上面将要需要实做出可以“感知移动”的过滤器。行动能力的网际网络提案非常的长(见[Mobility]来得知IPv6环境中行动能力的信息)。主要的问题就是要确定防火墙可以看见一个移动节点而且不能把它当成外地的。有个能让连接家代理进来的解决办法就是弄一台能分析协议而且可以给予授权的防火墙。
2.2.3 IPsec
IPsec是IPv6必须的功能,但他也广泛的用在IPv4的世界里。今天主要的问题在于 IPsec主要用在VPN的环境之中的两个网关器之间。在端对端的情况中没有用到IPsec。如果IPsec要在IPv6的环境中使用,在加密信道中传递的信息与如何过滤他是必须解决的根本性问题。一个加密的信道允许任何使用者跳过安全性政策的检查。要让IPsec端对端的安全性扩展到所有网络必须先解决过滤IPsec加密信道的问题。解决这问题的办法可能是下列几个:
- 在防火墙打断连结。这将会有两个加密信道,一个是从内部主机到防火墙,另一个是从防火墙到远程主机。这个方法主要的问题就是会打破端对端模式。
- 集中IPsec的管理在一个工作站上,这工作站可以控制网络中每部主机IPsec的行为。
2.2.4 路径MTU探查
路径MTU探查[PMTU disc.]是IPv6一个非常重要的特征(他在IPv4就有了,不过很少用)。IPv6封包不像IPv4可以被中介路由器分割。只有在来源主机才允许分割封包。但如果分割的大小不适合,来源主机必须知道在往目的主机路上的最小MTU。为了达到这个目标,来源主机会使用路径MTU探查,他使用了 ICMPv6的封包过大(Packet Too Big)[ICMPv6]讯息来找出最小的MTU在往目的主机的路上。挡住ICMPv6将会导致路径MTU探查无法正确动作,且发送主机可能会无法到达某些目的地。这ICMPv6的问题与ICMPv4的问题相同,可以辨识出与连结有关的ICMP讯息且可以处理新的ICMPv6讯息的状态过滤器将被实作出来。
3 IPv4的防火墙模型依然适用于IPv6吗?
IPv4的防火墙模型已用了十余年之久。每个人都能想到的最大问题也许是这模型该被淘汰,IPv6应该用新的。这是真的,而且新的应用程序会让IPv6变得十分不同,该是时候来想想新的模型了。目前IPv4的模型是集权式的,只有一个执行点(防火墙本身)。最好的方法可能是有一个比较分散的架构。像是Steven M. Bellovin在[Bellovin]提出的架构。这个构想是把防火墙的功能分散在每一部主机上,并且集中在一点管理,使用IPsec与专属的管理协议。
这模型看来很有趣,不过不可能在短期内达成。需要完成许多开发与测试,而且要确定这样的通讯可以标准化,因此开发与测试的时间还得加上标准化的时程。
由于有巨大的地址空间,另一个过滤应用程序的解决办法可以是让每个应用程序使用一个IPv6的地址。那幺每个列在网络上的应用程序都会有他专属的地址。美国国防部正在研究这个解决方法。如果他能成真那幺IP过滤将会以过滤地址为基础而非以过滤埠为基础,这将让过滤更为简单。IPv4防火墙模型将会再流行一阵子,直到有个人提出了一个更棒的解决办法,像是更分散的架构。任何新架构都必须能应付所有2.2节当中IPv6所带来的挑战。
4 谁在做什幺
虽然IPv6的防火墙市场跟IPv4的比起来是小的多(有一些显着的理由),不过有些厂商正要或已经开始提供IPv6过滤的解决办法。IPv6过滤至少在思科的路由器中已经有提供,以及一些日本的厂商,例如日立(见[Hitachi])。Juniper Networks的路由器产品也支持IPv6过滤。Checkpoint在2002年九月也宣布他们准备要提供IPv6的防火墙。思科在这年的11月将会提供延伸的ACL在他们的IOS当中,且也将展开IPv6 CBAC(Context Base Access Control)与Cisco PIX防火墙的开发工作。6Wind(见[6Wind])公司提供了一个完整的防火墙与过渡到IPv6的解决方案。
- IPV6与防火墙
- 防火墙与IPv6
- ipv6网段 防火墙 转发功能分析
- SUSE linux10sp2 关闭IPV6及防火墙
- ipv4与ipv6包头
- IPv6技术与应用
- ipv4与ipv6
- 物联网与IPv6
- ipv6与远程登录
- IPV4与IPV6
- IPsecVPN与IPV6
- IPV4与IPV6地址
- IPv4与IPv6
- IPv4与IPv6地址
- ipv4与ipv6
- ipv6与oracle database
- hosts 文件与 ipv6
- IPv6配置与部署
- lucene&IKAnalyzer入门实例
- Gwt延迟绑定介绍
- [转]建立时间和保持时间关系详解
- CentOS上安装yum的方法
- PHP 正则表达式模式修饰符
- IPV6与防火墙
- 获取tomcat 连接池的方法 mysql
- SSH框架整合——精简版
- Memcached在CentOS环境中的安装使用及Xmemcached客户端的使用
- VIM 设置
- const overloading in C++
- 巧用debug命令挑选显示器
- 【转】 影响FPGA设计中时钟因素的探讨(建立与保持时间 写的很好)
- 如何使用VirtualBox的共享文件夹----------------很给力,解决问题了!
