将防火墙从 IPv4 迁移到 IPv6

Question

我正在参与一个将防火墙应用程序从 IPv4 迁移到 IPv6 的项目。我有几个问题：

1. 可能需要进行哪些更改和修改？
2. FTP、HTTP、POP3等流行协议是否也需要适配/修改？
3. 应该或必须实施哪些 IPv6 组件？
4. 更喜欢哪种隧道/转换机制？

由于我是这个网络安全领域的新手，希望大家能给我一些宝贵的意见。提前致谢。

Answer 1

有很多事情需要考虑。我突然想到：

• 了解本地链路 (fe80::/10)、全局单播和多播地址范围之间的区别。确保您支持使用链路本地地址的接口范围（您将看到类似 fe80::1%eth1 的地址，它将指示 eth1 接口上的链路本地地址）。
• ARP 等效项（IPv6 邻居发现）现在是 ICMP 的一部分。这很重要，因为如果用户想要阻止 ICMP 数据包而不小心，他们可能会失去所有连接！
• 大多数（理智的）协议不需要重大改变。 FTP 是一种可能需要更改的协议，因为它有时会在协议本身内传递网络地址（而不是让较低级别的协议处理它）。
• 您将了解的最基本的隧道/转换机制需要称为6in4；它只是将 IPv6 数据包封装在 IPv4 数据包中，并允许用户手动配置隧道的端点。 6to4 和 Teredo 等自动隧道机制在某些情况下也很有用。
• 如果您销售商业产品，我建议您查看 USGv6 测试选择表。另外，请通读 USGv6 配置文件，其中包含许多您将要使用的 RFC为了开发符合 IPv6 标准的产品，需要了解这些内容。不支持网络保护设备 (NPD) 的 USGv6 配置文件可能会严重限制您的市场。最后，接受一些培训！ IPv6 在很多方面与 IPv4 有很大不同。如果您的雇主希望该项目取得成功，培训就至关重要，因为许多项目成员似乎对 IPv6 和网络安全都不熟悉。 （团队里有导师可以提问吗？）