将防火墙从IPv4迁移到IPv6

Question

我正在一个项目中将防火墙应用程序从IPv4迁移到IPv6。我有几个问题：

1. 可能需要进行哪些更改和修改？
2. FTP，HTTP，POP3等流行协议是否也需要调整/修改？
3. 应该或必须实施哪些IPv6组件？
4. 更喜欢哪种隧道/过渡机制？

由于我是这个网络安全领域的新手，我希望你们能给我一些宝贵的意见。提前谢谢。

Answer 1

有很多事情需要考虑。在我的头顶：

• 了解链路本地（fe80::/10），全球单播和多播地址范围之间的区别。确保您支持使用链接本地地址的接口范围（您将看到fe80::1%eth1之类的地址，它将指示eth1接口上的链接本地地址。）
• ARP等效（IPv6邻居发现）现在是ICMP的一部分。这很重要，因为如果用户想要阻止ICMP数据包并且不小心，他们可能会丢失所有连接！
• 大多数（理智）协议不需要进行重大更改。 FTP是 可能需要更改的一种协议，因为它有时会通过协议本身的网络地址（而不是让低级协议处理它）。
• 您需要的最基本的隧道/过渡机制称为6in4;它只是将IPv6数据包封装在IPv4数据包中，并允许用户手动配置隧道的端点。像6to4和Teredo这样的自动隧道机制在某些情况下也很有用。
• 如果您正在销售商品，我建议您查看USGv6 test selection tables。另外，请阅读USGv6 profile，其中包含指向您需要了解的许多RFC的指针，以便开发符合IPv6的产品。不支持网络保护设备（NPD）的USGv6配置文件可能严重限制您的市场。最后，接受一些培训！ IPv6在很多方面与IPv4有很大不同。如果您的雇主希望此项目取得成功，那么培训将至关重要，因为许多项目成员似乎都不熟悉IPv6和网络安全。 （你有团队的导师问问题吗？）