IPv6防火墙对安全的影响

安全
IPv6头信息链结构的灵活性优于IPv4,因为它不限制数据包可以包含的数量,然而,这种灵活性也是有代价的。

IPv6头信息链结构的灵活性优于IPv4,因为它不限制数据包可以包含的数量。然而,这种灵活性也是有代价的。

任何需要获取上层信息(如TCP端口号)的系统,都需要处理整个IPv6头信息链。而且,由于当前的协议标准支持任意数量的扩展头,包括同一种扩展头的多个实例,因此它会对防火墙等设备造成多种影响:

防火墙需要解析多个扩展头,才能够执行深度数据包检测(DPI),它可能会降低WAN性能,引发拒绝服务(DoS)攻击,或者防火墙被绕过。

组合扩展头和分片可能妨碍数据包检测

正如前面介绍的,由于当前的协议规范支持任意数量的扩展头,包括同一种扩展头类型的多个实例,因此防火墙必须能够细致地处理包括异常的多IPv6扩展头信息的数据包。而这可能被一些攻击者利用,他们可能故意在数据包中加入大量的扩展头,使防火墙在处理上述数据包时浪费过多资源。最终,这可能会引起防火墙性能下降,或者造成防火墙本身出现DoS问题。此外,有一些性能不佳的防火墙在应用过滤策略时,可能无法处理整个IPv6头信息链,从而可能让一些攻击者利用扩展头威胁相应的防火墙。

IPv6分片也可能被恶意利用,方法与IPv4的类似。例如,为了破坏防火墙的过滤策略,攻击者可能会发送一些重叠的分片,从而影响目标主机的分片重组过程。在IPv6中,这个问题更为严重,因为多个IPv6扩展头和分片的组合可能产生一些错误分片,尽管它们的数据包大小是“正常的”,但是它们丢失了一些实施过滤策略通常需要的基本信息,如TCP端口号。即,数据包的第一个分片可能包含很多IPv6选项,以致上层协议头可能属于另一个分片,而不是第一个分片。

【编辑推荐】

  1. 下一代防火墙热潮退后的冷思考
  2. 下一代防火墙与统一威胁管理的对比
  3. IPv6防火墙安全:新协议带来的问题
  4. IPv6无法解决全部安全问题
责任编辑:于爽 来源: CIO时代网
相关推荐

2011-11-23 14:46:12

2012-11-26 16:37:11

2013-01-30 09:48:11

2011-09-29 10:38:46

IPv6防火墙

2019-06-14 14:24:51

2013-07-04 09:18:39

2010-07-26 19:53:18

2012-06-14 10:59:47

2010-05-28 10:35:25

IPv6技术

2012-10-19 14:50:03

H3C防火墙IPV6

2022-09-20 16:38:08

数据安全数据泄露安全

2010-11-17 12:20:15

2019-07-18 11:26:13

防火墙网络安全软件

2010-09-13 17:36:59

2013-11-20 09:22:44

IPv4过渡IPv6

2011-10-24 15:01:22

IPv6网络安全

2010-10-08 11:04:03

2010-09-29 17:25:25

2020-05-14 22:00:43

FirewallD防火墙系统运维

2011-03-02 09:59:38

点赞
收藏

51CTO技术栈公众号