Миграция брандмауэра с IPv4 на IPv6 - PullRequest
Новая
       15

Миграция брандмауэра с IPv4 на IPv6

2 голосов
/ 02 февраля 2011

Я работаю над проектом по переносу приложения брандмауэра с IPv4 на IPv6. У меня есть несколько вопросов:

  1. Какие изменения и модификации могут потребоваться?
  2. Нужно ли адаптировать / модифицировать популярные протоколы, такие как FTP, HTTP, POP3?
  3. Какие компоненты IPv6 должны или должны быть реализованы?
  4. Какой механизм туннелирования / перехода предпочтительнее?

Поскольку я новичок в этой области сетевой безопасности, я надеюсь, что вы, ребята, могли бы дать мне ценный вклад. Заранее спасибо.

1 Ответ

1 голос
/ 06 февраля 2011

Есть много вещей, чтобы рассмотреть. С макушки головы:

  • Изучите разницу между локальным (fe80::/10), глобальным одноадресным и многоадресным адресами. Убедитесь, что вы поддерживаете границы интерфейса с локальными адресами (вы увидите адреса, подобные fe80::1%eth1, которые будут указывать локальный адрес канала на интерфейсе eth1).
  • Эквивалент ARP (обнаружение соседа IPv6) теперь является частью ICMP. Это важно, потому что, если пользователь хочет заблокировать ICMP-пакеты и не проявляет осторожности, он может потерять все свое соединение!
  • Большинство (нормальных) протоколов не нуждаются в серьезных изменениях. FTP - это протокол, который может потенциально нуждаться в изменениях, поскольку он иногда передает сетевые адреса в самом протоколе (вместо того, чтобы позволить протоколам более низкого уровня позаботиться об этом)
  • Самый базовый механизм туннелирования / перехода, который вам понадобится, называется 6in4; он просто инкапсулирует пакеты IPv6 в пакеты IPv4 и позволяет пользователю вручную настраивать конечные точки туннеля. Автоматические механизмы туннелирования, такие как 6to4 и Teredo, также могут быть полезны в некоторых ситуациях.
  • Если вы продаете коммерческий продукт, я рекомендую вам взглянуть на таблицы выбора теста USGv6 . Кроме того, прочитайте профиль USGv6 , в котором есть ссылки на многие RFC, которые вам необходимо понять для разработки продукта, совместимого с IPv6. Неподдержка профиля USGv6 для устройства защиты сети (NPD) может серьезно ограничить ваш рынок. Наконец, пройти обучение! IPv6 во многом сильно отличается от IPv4. Если ваш работодатель хочет, чтобы этот проект был успешным, обучение будет иметь решающее значение, учитывая, что многие участники проекта являются новичками как в IPv6, так и в сетевой безопасности. (у вас есть наставник в команде, чтобы задавать вопросы?)
...