防火墙与IPv6

 

• cisco ios
• solaris
• access
• pix防火墙
• 网络管理员

 这份文件由IPv6的观点描述了为何防火墙的概念依然适用于IPv6以及有什幺可以做来让防火墙更适合IPv6所带来的挑战。对防火墙设备可能面临的挑战在这篇文章之中被描述且提出了一些解决方法。

1 防火墙的概念
防火墙的概念广为人知所以不太需要太长的解说。不过在这里稍微提醒一下，他们将会被解说。防火墙主要作为一个IP封包的过滤器，能够套用一个安全性政策在通过的流量上。他们用来增强某个网络边界的安全性，来避免内部的主机遭到外部的攻击，也避免内部的使用者去攻击外部的主机。

IP 过滤处理可以有很多种方式。现代的防火墙通常使用一种状态检视(stateful inspection)。状态检视是对于每一个通过防火墙的封包详细的检视关于这些封包的参数，次序与其它需要被检验的东西。再者，状态检视包含了一个关 于联机与封包的信息的状态表，这样才能增强未来进来与出去的封包与联机之安全性。尽管大量的状态检视使用在防火墙之中，基本的IP过滤依然广泛的被使用在 网络的边界，特别是在网络管理员要提供很好的安全/效能比的地方。基本过滤有一个典型的例子就是Cisco IOS的基本与延伸存取控制列表(Access Control Lists)与Juniper防火墙过滤器(请参照[Cisco]与[Juniper]来获得关于这些机制的详细信息)。

除了基本的IP过滤，防火墙还提供了许多其它的功能。举个例子，由于IPv4地址空间的不足，防火墙在网络边界通常担任为这个网络提供NAT(Network Address Translation,网络地址转译)的角色。虽然IP过滤是一个基本的安全性服务，其它安全性的服务也常由防火墙提供，像是给漫游者与其它网络(分公司，合作伙伴)用的VPN (Virtual Private Network, 虚拟私有网络)网关器或者代理一些应用协议例如FTP, H.323, HTTP, …

今日的防火墙几乎用在任何有关于安全的地方，他们是增强网络边界之安全性最重要的装置，因此他们成为出错的关键点。

过滤IPv4包含套用规则在每个通过防火墙的封包上，过滤规则主要包括:

-      For IPv4:
来源与目的地址
协议字段
识别与用以重组封包的分段位移
Diffserv字段在防火墙当中也用来管理QoS
-      For TCP:
来源与目的埠
TCP 旗标
Window的大小(主要是用于状态检视)
-      For UDP:
来源与目的埠
虚拟连接标示的定时器之概论
-      For ICMPv4:
基本ICMP过滤所需的代码与型态

状态检视能让有关其它连接的ICMP讯息穿透防火墙
-      过滤其它协议与特别的应用协议需要依据协议的内容个别的设计。这就是IPv4防火墙今天所能做的事情。但尽管如此，有一大部分的协议可以套用与IP/TCP/UDP相同的规范。

2. 过滤IPv6
2.1 与IPv4之间的异同
IPv6 与IPv4的标头之间有一些的差异因此在设计过滤器的时候这需要被考虑进来。由于IPv6的封包标头已经被简化过了所以在这个层级做过滤变得更简单，但在 IPv4选择性标头的部分，过滤器在实作的时候并没有考虑到。因此，确定IPv6延伸标头有无正确的被过滤是一件重要的事情。

事实上延 伸标头总是包含了开头的两个字节，用以说明下一个延伸之起始点与长度 (但新的延伸可能用不同的方式设计，因此这规则不是延伸的必须条件)，这让基本的封包过滤变得十分简单，几乎可以直接从IPv4那而抄过来(如果延伸不被 考虑的话)。上层的协议不需要改变，除了延伸的处理之外，过滤（基本与状态检视）应该会维持不变。纵使延伸标头并不预期有固定的长度与有位置固定次一标 头，不过保持既有的实作方式将会是个好主意，这样处理起来会比较简单。不过上面引用的规则（两个字节包含长度与起始位置）有个显着的例外就是ESP延伸标 头。

2.2 IPv6所带来的挑战
因为IP过滤所出现的其它议题也是IPv6所关心的。其中最大的是：端对端连接与行动能力。除了这两个重点外，事实上IPsec也是IPv6必要的服务，他将会需要特别的处理，同时也会是个问题所在。

2.2.1 端对端连接
今 天IPv6的拥护者所持的主要信念就是“端对端连接”，同时他也是网际网络早年的信念。但是当网际网络成为商业化的产物之后，所需的安全性与私密性让防火 墙受采用。防火墙看起来必须剪断端对端连接以增强过滤与安全性政策。至少有一种协议看起来并不是“适于防火墙”的协议，那就是FTP。FTP使用两个频道 来通讯，而且其中有一个可以是从服务器连到客户端的。如果不允许开启足够的埠可以从外面连接到里面防火墙将会阻断FTP通讯。相同的问题也会发生在其它的 协议上。这些协议使用这种“回拨”的机制是十分有用的通讯协议特征，但需要特别设计的防火墙设备。这问题在IPv4与IPv6上面都存在。这意指许多应用 程序代理服务器将 要被设计成能处理所有的新协议，特别是在对等式服务的领域与游戏的领域。有两个办法可以来处理这问题。第一个是开发一种代理程序 (ALG, Application Level Gateway, 应用层网关)用于每个可能会出现的新协议。不过这办法的主要问题在于，他几乎不可能办得到，因为要这样做牵涉到的层面太广了。这办法还会有另一个问题是， 慢，因为一个即将成为应用层的新网络层让网际网络将成为“七阶层”的网际网络。另外的解决办法就是实作在v6ops邮件列表(见[Carpenter]) 上面讨论的MIDCOM RFCs (见[MIDCOM])。

2.2.2 行动能力
行动能力将会当作IPv6的一个新应用。 他将会带来过滤上的困难，因为对过滤器来说网络变的分散。甚至一个外地的主机看起来都会是本地的。除了这些行动能力机制本身的安全性(保护binding 更新)之外，在防火墙上面将要需要实做出可以“感知移动”的过滤器。行动能力的网际网络提案非常的长（见[Mobility]来得知IPv6环境中行动能 力的信息）。主要的问题就是要确定防火墙可以看见一个移动节点而且不能把它当成外地的。有个能让连接家代理进来的解决办法就是弄一台能分析协议而且可以给 予授权的防火墙。

2.2.3 IPsec
IPsec是IPv6必须的功能，但他也广泛的用在IPv4的世界里。今天主要的问题在于 IPsec主要用在VPN的环境之中的两个网关器之间。在端对端的情况中没有用到IPsec。如果IPsec要在IPv6的环境中使用，在加密信道中传递的信息与如何过滤他是必须解决的根本性问题。一个加密的信道允许任何使用者跳过安全性政策的检查。要让IPsec端对端的安全性扩展到所有网络必须先解决过滤IPsec加密信道的问题。解决这问题的办法可能是下列几个：

-      在防火墙打断连结。这将会有两个加密信道，一个是从内部主机到防火墙，另一个是从防火墙到远程主机。这个方法主要的问题就是会打破端对端模式。
-      集中IPsec的管理在一个工作站上，这工作站可以控制网络中每部主机IPsec的行为。

2.2.4 路径MTU探查
路 径MTU探查[PMTU disc.]是IPv6一个非常重要的特征（他在IPv4就有了，不过很少用）。IPv6封包不像IPv4可以被中介路由器分割。只有在来源主机才允许分 割封包。但如果分割的大小不适合，来源主机必须知道在往目的主机路上的最小MTU。为了达到这个目标，来源主机会使用路径MTU探查，他使用了 ICMPv6的封包过大(Packet Too Big)[ICMPv6]讯息来找出最小的MTU在往目的主机的路上。挡住ICMPv6将会导致路径MTU探查无法正确动作，且发送主机可能会无法到达某 些目的地。这ICMPv6的问题与ICMPv4的问题相同，可以辨识出与连结有关的ICMP讯息且可以处理新的ICMPv6讯息的状态过滤器将被实作出 来。

3 IPv4的防火墙模型依然适用于IPv6吗?
IPv4的防火墙模型已用了十余年之久。每个人都能想到的最大问题也许是 这模型该被淘汰，IPv6应该用新的。这是真的，而且新的应用程序会让IPv6变得十分不同，该是时候来想想新的模型了。目前IPv4的模型是集权式的， 只有一个执行点（防火墙本身）。最好的方法可能是有一个比较分散的架构。像是Steven M. Bellovin在[Bellovin]提出的架构。这个构想是把防火墙的功能分散在每一部主机上，并且集中在一点管理，使用IPsec与专属的管理协 议。

这模型看来很有趣，不过不可能在短期内达成。需要完成许多开发与测试，而且要确定这样的通讯可以标准化，因此开发与测试的时间还得加上标准化的时程。

由 于有巨大的地址空间，另一个过滤应用程序的解决办法可以是让每个应用程序使用一个IPv6的地址。那幺每个列在网络上的应用程序都会有他专属的地址。美国 国防部正在研究这个解决方法。如果他能成真那幺IP过滤将会以过滤地址为基础而非以过滤埠为基础，这将让过滤更为简单。IPv4防火墙模型将会再流行一阵 子，直到有个人提出了一个更棒的解决办法，像是更分散的架构。任何新架构都必须能应付所有2.2节当中IPv6所带来的挑战。

4 谁在做什幺
虽然IPv6的防火墙市场跟IPv4的比起来是小的多（有一些显着的理由），不过有些厂商正要或已经开始提供IPv6过滤的解决办法。IPv6过滤至少在思科的 路由器中已经有提供，以及一些日本的厂商，例如日立（见[Hitachi]）。Juniper Networks的路由器产品也支持IPv6过滤。Checkpoint在2002年九月也宣布他们准备要提供IPv6的防火墙。思科在这年的11月将会 提供延伸的ACL在他们的IOS当中，且也将展开IPv6 CBAC(Context Base Access Control)与Cisco PIX防火墙的开发工作。6Wind(见[6Wind])公司提供了一个完整的防火墙与过渡到IPv6的解决方案。NetScreen也致力于把IPv6 放进他的防火墙产品中。开放源码的防火墙也把IPv6过滤处理的很好。Linux核 心已经包含了能够过滤IPv6的Netfilter套件。不过这过滤器只有基本的过滤，并没有状态过滤。在 *BSD这边，OpenBSD操作系统的封包过滤器(称为pf, 见[PF])已经相当完整(他能做到状态过滤)，且只有处理IPv6延伸的工作还在进行中。相同的东西也被称为IPFilter，一个Unix用的过滤套 件，用于Sun Solaris, F

（网页上显示不全，就转载到这里吧）