實作 Teredo 安全性模型

Teredo 安全性模型是以 Windows Vista 內建的 Windows 篩選平台 () 技術為基礎。 因此，建議使用協力廠商防火牆來強制執行 Teredo 安全性模型。

Teredo 安全性模型的一般實作需要下列各項：

• 具備 IPv6 功能的主機防火牆必須向電腦上的 Windows 安全性 應用程式註冊。 如果沒有主機型防火牆或Windows 安全性應用程式本身，Teredo 介面將無法使用。 這是透過 Teredo 介面接收來自網際網路的要求流量的唯一需求。
• 透過 Teredo 介面接收來自網際網路未經要求流量的任何應用程式，都必須向具備 IPv6 功能的防火牆註冊，例如 Windows 防火牆，才能接收未經請求的流量。

如果流量尚未透過 Teredo 介面傳送或接收，則 Teredo 位址會變成休眠狀態，如果符合未要求流量的必要安全性準則的應用程式未執行或未開啟接聽通訊端。

重新開機電腦之後，或 Teredo 位址失去其資格之後，Windows Vista 會自動限定位址，並在應用程式系結至支援 IPv6 的通訊端時立即使用。 請務必注意，應用程式所設定的 Windows 防火牆「Edge 周遊」選項允許透過 Teredo 的未經要求流量在重新開機時持續存在。

Teredo 的防火牆需求

防火牆廠商可以輕鬆地將其產品納入 Teredo 支援，並使用 Windows 篩選平台的功能來保護其使用者。 這可以藉由向Windows 安全性應用程式註冊 IPv6 功能防火牆、將適當的規則新增至「TERedo」子層，以及使用 Windows 中的內建 API 來列舉可能透過 Teredo 接聽未要求流量的應用程式來完成。 在應用程式不需要透過 Teredo 接聽請求的流量的情況下，防火牆不需要將其他規則新增至其至「計畫」。 不過，支援 IPv6 的防火牆註冊與Windows 安全性應用程式仍然需要讓 Teredo 位址可供使用。

為了支援此案例，防火牆必須具備 IPv6 功能，且已向 Windows 安全性 應用程式註冊。 此外，防火牆不得變更Windows 安全性 app Service (wscsvc) 的執行狀態或啟動狀態，因為 Teredo 取決於透過 WSC API 提供的狀態資訊。

透過連絡 Microsoft wscisv@microsoft.com ，即可取得用來向Windows 安全性應用程式註冊防火牆的 API。 由於安全性考慮，需要有洩漏合約 (NDA) 才能洩漏此 API。

下列檔詳細說明使用的篩選準則和例外狀況，以確保與 Teredo 的最佳相容性：

• 實作 Teredo 的防火牆篩選
• Teredo 的必要防火牆例外狀況
• Teredo 的必要 Windows 篩選平台例外狀況

其他 IPv6 轉換技術的防火牆需求

為了支援其他 IPv6 轉換技術 (，例如 6to4 和 ISATAP) ，主機防火牆產品必須能夠處理 IPv6 流量。 IP 通訊協定 41 指出 IPv6 標頭遵循 IPv4 標頭的時機。 當主機防火牆遇到通訊協定 41 時，它必須辨識封包是 IPv6 封裝的封包，因此必須適當地處理封包，並根據其原則中的 IPv6 規則做出接受/拒絕決策。