实现 Teredo 安全模型
Teredo 安全模型基于 Windows Vista 中内置的 Windows 筛选平台 (WFP) 技术。 因此,建议第三方防火墙使用 WFP 来强制实施 Teredo 安全模型。
Teredo 安全模型的常规实现需要以下各项:
- 必须使用计算机上的 Windows 安全中心 应用注册支持 IPv6 的主机防火墙。 在没有基于主机的防火墙或Windows 安全中心应用本身的情况下,Teredo 接口将不可用。 这是通过 Teredo 接口从 Internet 接收请求的流量的唯一要求。
- 通过 Teredo 接口从 Internet 接收未经请求的流量的任何应用程序都必须在接收未经请求的流量之前注册到支持 IPv6 的防火墙(如 Windows 防火墙)。
如果一小时未通过 Teredo 接口发送或接收流量,并且满足针对未经请求的流量所需的安全标准的应用程序未运行或未打开侦听套接字,则 Teredo 地址将变为休眠状态。
重启计算机后,或者如果 Teredo 地址失去其资格,Windows Vista 将自动限定该地址,并在应用程序绑定到支持 IPv6 的套接字后立即使用它。 请务必注意,由应用程序设置的 Windows 防火墙“边缘遍历”选项允许未经请求的流量通过 Teredo 在重启后持久存在。
Teredo 的防火墙要求
防火墙供应商可以轻松将 Teredo 支持纳入其产品,并使用 Windows 筛选平台的功能保护其用户。 为此,可以将支持 IPv6 的防火墙注册到 Windows 安全中心 应用,将适当的规则添加到 WFP Teredo 子层,并使用 Windows 中的内置 API 枚举可能侦听 Teredo 上未经请求的流量的应用程序。 如果应用程序不需要侦听通过 Teredo 请求的流量,防火墙不需要将其他规则添加到 WFP。 但是,在 Windows 安全中心 应用中注册支持 IPv6 的防火墙仍然是使 Teredo 地址可供使用的一项要求。
为了支持此方案,防火墙必须支持 IPv6,并且已注册到 Windows 安全中心 应用。 此外,防火墙不得更改Windows 安全中心应用服务的运行或启动状态 (wscsvc) ,因为 Teredo 依赖于通过 WSC API 提供的状态信息。
可以通过通过 联系 Microsoft wscisv@microsoft.com来获取用于向 Windows 安全中心 应用注册防火墙的 API。 出于安全考虑,披露此 API 需要 (NDA) 保密协议。
以下文档详细介绍了用于确保与 Teredo 的最佳兼容性的筛选器和异常:
其他 IPv6 转换技术的防火墙要求
为了支持其他 IPv6 转换技术 (,如 6to4 和 ISATAP) ,主机防火墙产品必须能够处理 IPv6 流量。 IP 协议 41 指示 IPv6 标头何时跟随 IPv4 标头。 当主机防火墙遇到协议 41 时,它必须识别数据包是 IPv6 封装的数据包,因此必须正确处理数据包,并根据策略中的 IPv6 规则做出接受/拒绝决策。