将防火墙从IPv4迁移到IPv6

Question

我正在从一个项目中将防火墙应用程序从IPv4迁移到IPv6。我有几个问题：

1. 可能需要进行哪些更改和修改？
2. 是否还需要修改/修改FTP，HTTP，POP3等流行协议？
3. 哪些IPv6组件应该或必须实现？
4. 哪种隧道/转换机制更喜欢？

由于我是这个网络安全领域的新手，我希望你们能给我一些宝贵的意见。提前致谢。

Answer 1

有很多事情要考虑。关闭我的头顶：

• 了解本地链路（fe80::/10），全球单播和多播地址范围之间的差异。确保你支持使用本地链接地址的接口范围（你会看到类似fe80::1%eth1的地址，它会在eth1接口上显示链路本地地址）。
• ARP等效（IPv6邻居发现）现在是ICMP的一部分。这很重要，因为如果用户想要阻止ICMP数据包并且不小心，他们可能会失去所有的连接！
• 大多数（理智）协议不需要重大更改。 FTP是一种协议，将可能需要更改，因为它有时会在协议本身内传递网络地址（而不是让较低级别的协议处理它）
• 您将需要的最基本的隧道/转换机制是叫6in4;它只是将IPv4数据包封装在IPv4数据包中，并允许用户手动配置隧道的端点。像6to4和Teredo这样的自动隧道机制在某些情况下也很有用。
• 如果您正在销售商品，我建议您查看USGv6 test selection tables。另外，请阅读USGv6 profile，其中有许多您需要了解的RFC，以便开发符合IPv6标准的产品。不支持网络保护设备（NPD）的USGv6配置文件可能会严重限制您的市场。最后，接受一些训练！ IPv6在许多方面与IPv4大不相同。如果你的雇主希望这个项目取得成功，考虑到许多项目成员似乎对IPv6和网络安全都不熟悉，培训将非常关键。 （你对团队的导师提问呢？）