防火墻對(duì)于一個(gè)網(wǎng)格的作用就不用多說(shuō)了，網(wǎng)絡(luò)的第一道防線(xiàn)就是防火墻，它用于防御公共互聯(lián)網(wǎng)攻擊，限制本地用戶(hù)的公共互聯(lián)網(wǎng)訪問(wèn)，隨著IPv6的出現(xiàn)，對(duì)防火墻有了新的要求，雖然IPv6和IPv4各自提供的服務(wù)非常相似，但是這兩種協(xié)議之間存在一些細(xì)微差別，這對(duì)防火墻設(shè)備和操作會(huì)影響很大。

　　一、IPv6的一個(gè)主要變化是采用固定長(zhǎng)度的協(xié)議頭，而不像IPv4那樣采用可變長(zhǎng)度協(xié)議頭。任何必要的選擇都必須加到后續(xù)的擴(kuò)展頭中，擴(kuò)展頭位于固定的IPv6頭和封裝的IPv6上層協(xié)議之間。它會(huì)根據(jù)處理選項(xiàng)的不同系統(tǒng)而采用不同的擴(kuò)展頭。例如，需要在目標(biāo)主機(jī)中處理的選項(xiàng)會(huì)包含在一個(gè)“目標(biāo)選項(xiàng)”頭信息中，而由路由器處理的選項(xiàng)則會(huì)包含在一個(gè)“跳間選項(xiàng)”頭信息中。理論上，這至少能夠讓路由器和主機(jī)解析、處理歸它們的選項(xiàng)——而IPv4則不同，處理數(shù)據(jù)包的所有節(jié)點(diǎn)必須解析所有的選項(xiàng)。

　　二、這個(gè)頭結(jié)構(gòu)決定了IPv6頭信息鏈：多個(gè)頭信息會(huì)被依次鏈接在一起，首先是IPv6頭，最后是上層協(xié)議。每一個(gè)擴(kuò)展頭都包含具體的頭長(zhǎng)度和下一個(gè)頭鏈接的頭信息類(lèi)型。

　　因此，任何IPv6流都會(huì)采用完整的IPv6頭信息鏈，然后處理它需要的頭信息，分片頭是其中一種特殊類(lèi)型的擴(kuò)展頭，它包含了實(shí)現(xiàn)IPv6分片所需要的機(jī)制。

　　與IPv4頭不同，IPv6不是將所有分片相關(guān)信息保存在固定的IPv6頭中，而是將這些信息保存在一個(gè)可選的分片頭中。因此，執(zhí)行分片的主機(jī)只需要在IPv6頭信息鏈中插入一個(gè)分片頭信息，再添加需要分片的原始數(shù)據(jù)包。

　　三、任何需要獲取上層信息(如TCP端口號(hào))的系統(tǒng)，都需要處理整個(gè)IPv6頭信息鏈。而且，由于當(dāng)前的協(xié)議標(biāo)準(zhǔn)支持任意數(shù)量的擴(kuò)展頭，包括同一種擴(kuò)展頭的多個(gè)實(shí)例，因此它會(huì)對(duì)防火墻等設(shè)備造成多種影響，防火墻需要解析多個(gè)擴(kuò)展頭，才能夠執(zhí)行深度數(shù)據(jù)包檢測(cè)(DPI)，它可能會(huì)降低WAN性能，引發(fā)拒絕服務(wù)(DoS)攻擊，或者防火墻被繞過(guò)。

　　四、由于當(dāng)前的協(xié)議規(guī)范支持任意數(shù)量的擴(kuò)展頭，包括同一種擴(kuò)展頭類(lèi)型的多個(gè)實(shí)例，因此防火墻必須能夠細(xì)致地處理包括異常的多IPv6擴(kuò)展頭信息的數(shù)據(jù)包。而這可能被一些攻擊者利用，他們可能故意在數(shù)據(jù)包中加入大量的擴(kuò)展頭，使防火墻在處理上述數(shù)據(jù)包時(shí)浪費(fèi)過(guò)多資源。

　　最終，這可能會(huì)引起防火墻性能下降，或者造成防火墻本身出現(xiàn)DoS問(wèn)題。此外，有一些性能不佳的防火墻在應(yīng)用過(guò)濾策略時(shí)，可能無(wú)法處理整個(gè)IPv6頭信息鏈，從而可能讓一些攻擊者利用擴(kuò)展頭威脅相應(yīng)的防火墻。

　　五、IPv6分片也可能被惡意利用，方法與IPv4的類(lèi)似。例如，為了破壞防火墻的過(guò)濾策略，攻擊者可能會(huì)發(fā)送一些重疊的分片，從而影響目標(biāo)主機(jī)的分片重組過(guò)程。

　　在IPv6中，這個(gè)問(wèn)題更為嚴(yán)重，因?yàn)槎鄠€(gè)IPv6擴(kuò)展頭和分片的組合可能產(chǎn)生一些錯(cuò)誤分片，盡管它們的數(shù)據(jù)包大小是“正常的”，但是它們丟失了一些實(shí)施過(guò)濾策略通常需要的基本信息，如TCP端口號(hào)。即，數(shù)據(jù)包的第一個(gè)分片可能包含很多IPv6選項(xiàng)，以致上層協(xié)議頭可能屬于另一個(gè)分片，而不是第一個(gè)分片。

　　六、IPv6轉(zhuǎn)換/共存技術(shù)還給IPv6防火墻帶來(lái)另一個(gè)問(wèn)題。大多數(shù)轉(zhuǎn)換技術(shù)都使用某種通道機(jī)制，它在一種網(wǎng)絡(luò)協(xié)議(通常是IPv4)中封裝另一種網(wǎng)絡(luò)層協(xié)議(通常是IPv6)。這會(huì)對(duì)防火墻的安全性造成很多影響，防火墻可能無(wú)法識(shí)別特定的轉(zhuǎn)換技術(shù)，也可能無(wú)法應(yīng)用一些原生IPv6流量支持的過(guò)濾策略。例如，在使用原生IPv4或原生IPv6時(shí)，一個(gè)網(wǎng)站可以阻擋通向TCP端口25的數(shù)據(jù)包，但是在部署了 Teredo 等轉(zhuǎn)換機(jī)制后，它可能無(wú)法阻擋這些數(shù)據(jù)包。
(責(zé)任編輯：VEVB)