防火墻對于一個網(wǎng)格的作用就不用多說了，網(wǎng)絡(luò)的第一道防線就是防火墻，它用于防御公共互聯(lián)網(wǎng)攻擊，限制本地用戶的公共互聯(lián)網(wǎng)訪問，隨著IPv6的出現(xiàn)，對防火墻有了新的要求，雖然IPv6和IPv4各自提供的服務(wù)非常相似，但是這兩種協(xié)議之間存在一些細微差別，這對防火墻設(shè)備和操作會影響很大。

一、IPv6的一個主要變化是采用固定長度的協(xié)議頭，而不像IPv4那樣采用可變長度協(xié)議頭。任何必要的選擇都必須加到后續(xù)的擴展頭中，擴展頭位于固定的IPv6頭和封裝的IPv6上層協(xié)議之間。它會根據(jù)處理選項的不同系統(tǒng)而采用不同的擴展頭。例如，需要在目標主機中處理的選項會包含在一個“目標選項”頭信息中，而由路由器處理的選項則會包含在一個“跳間選項”頭信息中。理論上，這至少能夠讓路由器和主機解析、處理歸它們的選項——而IPv4則不同，處理數(shù)據(jù)包的所有節(jié)點必須解析所有的選項。

二、這個頭結(jié)構(gòu)決定了IPv6頭信息鏈：多個頭信息會被依次鏈接在一起，首先是IPv6頭，最后是上層協(xié)議。每一個擴展頭都包含具體的頭長度和下一個頭鏈接的頭信息類型。

因此，任何IPv6流都會采用完整的IPv6頭信息鏈，然后處理它需要的頭信息，分片頭是其中一種特殊類型的擴展頭，它包含了實現(xiàn)IPv6分片所需要的機制。

與IPv4頭不同，IPv6不是將所有分片相關(guān)信息保存在固定的IPv6頭中，而是將這些信息保存在一個可選的分片頭中。因此，執(zhí)行分片的主機只需要在IPv6頭信息鏈中插入一個分片頭信息，再添加需要分片的原始數(shù)據(jù)包。

三、任何需要獲取上層信息(如TCP端口號)的系統(tǒng)，都需要處理整個IPv6頭信息鏈。而且，由于當前的協(xié)議標準支持任意數(shù)量的擴展頭，包括同一種擴展頭的多個實例，因此它會對防火墻等設(shè)備造成多種影響，防火墻需要解析多個擴展頭，才能夠執(zhí)行深度數(shù)據(jù)包檢測(DPI)，它可能會降低WAN性能，引發(fā)拒絕服務(wù)(DoS)攻擊，或者防火墻被繞過。

四、由于當前的協(xié)議規(guī)范支持任意數(shù)量的擴展頭，包括同一種擴展頭類型的多個實例，因此防火墻必須能夠細致地處理包括異常的多IPv6擴展頭信息的數(shù)據(jù)包。而這可能被一些攻擊者利用，他們可能故意在數(shù)據(jù)包中加入大量的擴展頭，使防火墻在處理上述數(shù)據(jù)包時浪費過多資源。

最終，這可能會引起防火墻性能下降，或者造成防火墻本身出現(xiàn)DoS問題。此外，有一些性能不佳的防火墻在應(yīng)用過濾策略時，可能無法處理整個IPv6頭信息鏈，從而可能讓一些攻擊者利用擴展頭威脅相應(yīng)的防火墻。

五、IPv6分片也可能被惡意利用，方法與IPv4的類似。例如，為了破壞防火墻的過濾策略，攻擊者可能會發(fā)送一些重疊的分片，從而影響目標主機的分片重組過程。

在IPv6中，這個問題更為嚴重，因為多個IPv6擴展頭和分片的組合可能產(chǎn)生一些錯誤分片，盡管它們的數(shù)據(jù)包大小是“正常的”，但是它們丟失了一些實施過濾策略通常需要的基本信息，如TCP端口號。即，數(shù)據(jù)包的第一個分片可能包含很多IPv6選項，以致上層協(xié)議頭可能屬于另一個分片，而不是第一個分片。

六、IPv6轉(zhuǎn)換/共存技術(shù)還給IPv6防火墻帶來另一個問題。大多數(shù)轉(zhuǎn)換技術(shù)都使用某種通道機制，它在一種網(wǎng)絡(luò)協(xié)議(通常是IPv4)中封裝另一種網(wǎng)絡(luò)層協(xié)議(通常是IPv6)。這會對防火墻的安全性造成很多影響，防火墻可能無法識別特定的轉(zhuǎn)換技術(shù)，也可能無法應(yīng)用一些原生IPv6流量支持的過濾策略。例如，在使用原生IPv4或原生IPv6時，一個網(wǎng)站可以阻擋通向TCP端口25的數(shù)據(jù)包，但是在部署了 Teredo 等轉(zhuǎn)換機制后，它可能無法阻擋這些數(shù)據(jù)包。

七、轉(zhuǎn)換技術(shù)可能會加劇上述問題，因為不僅封裝的流量可能使用組合的IPv6擴展頭和分片，其他向外發(fā)送的數(shù)據(jù)包(通常是IPv4)也可能是分片的，因此這都會大大增加最終流量的復雜性。這種復雜性不僅會降低網(wǎng)絡(luò)流量傳輸速度，更嚴重的是，它還可能影響防火墻的過濾策略。例如，防火墻可能無法處理整個頭信息鏈，從而無法找到TCP分片。

為了應(yīng)用IPv6數(shù)據(jù)包過濾策略，防火墻至少必須支持整個IPv6頭信息鏈的處理，理想情況下，這些防火墻還應(yīng)該支持IPv6轉(zhuǎn)換技術(shù)，這樣應(yīng)用于原生IPv6流量的過濾策略可以同樣應(yīng)用到轉(zhuǎn)換流量上。

也就是說，防火墻應(yīng)該有一個“默認拒絕”策略，這樣防火墻就能夠阻擋您不需要的流量，如轉(zhuǎn)換流量。