Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Teredo-Sicherheitsmodell basiert auf der in Windows Vista integrierten Windows-Filterplattform(WFP)-Technologie. Daher wird empfohlen, dass Firewalls von Drittanbietern WFP verwenden, um das Teredo Sicherheitsmodell zu erzwingen.
Die allgemeine Implementierung des Teredo-Sicherheitsmodells erfordert Folgendes:
- Eine IPv6-fähige Hostfirewall muss bei der Windows-Sicherheits-App auf dem Computer registriert werden. Wenn keine hostbasierte Firewall oder die Windows Security-App selbst vorhanden ist, steht die Teredo-Schnittstelle nicht zur Verfügung. Dies ist die einzige Anforderung, um den angeforderten Datenverkehr aus dem Internet über die Teredo-Schnittstelle zu erhalten.
- Jede Anwendung, die unerwünschten Datenverkehr aus dem Internet über die Teredo-Schnittstelle empfängt, muss sich bei einer IPv6-fähigen Firewall wie Windows Firewallregistrieren, bevor Sie den unerwünschten Datenverkehr erhalten.
Eine Teredo-Adresse wird inaktiv, wenn für mindestens eine Stunde über die Teredo-Schnittstelle kein Datenverkehr gesendet oder empfangen wurde und wenn Anwendungen, die die erforderlichen Sicherheitskriterien für unerwünschten Datenverkehr erfüllen, entweder nicht ausgeführt werden oder keine lausenden Sockets geöffnet sind.
Nach dem Neustart eines Computers oder wenn die Teredo-Adresse ihre Qualifikationen verliert, qualifiziert Windows Vista automatisch die Adresse und stellt sie zur Verwendung zur Verfügung, sobald eine Anwendung an IPv6-fähige Sockets gebunden ist. Es ist wichtig zu beachten, dass die von einer Anwendung festgelegte Windows-Firewalloption "Edge Traversal" für nicht angeforderten Datenverkehr über Teredo über Neustarts beständig ist.
Firewallanforderungen für Teredo
Firewallanbieter können die Teredo-Unterstützung einfach in ihre Produkte integrieren und ihre Benutzer mithilfe der Funktionen der Windows-Filterplattform schützen. Dies kann erreicht werden, indem sie die IPv6-fähige Firewall mit der Windows-Sicherheits-App registrieren, dem WFP Teredo-Unterlayer entsprechende Regeln hinzufügen und integrierte APIs in Windows verwenden, um Anwendungen auflisten, die möglicherweise nicht angeforderten Datenverkehr über Teredo überwachen. In Situationen, in denen eine Anwendung nicht auf angeforderten Datenverkehr über Teredo lauschen muss, erfordern Firewalls keine zusätzlichen Regeln, die dem WFP hinzugefügt werden. Eine IPv6-fähige Firewallregistrierung mit der Windows-Sicherheits-App ist jedoch weiterhin erforderlich, um die Teredo-Adresse zur Verwendung zur Verfügung zu stellen.
Um dieses Szenario zu unterstützen, muss die Firewall IPv6-fähig und bei der Windows-Sicherheits-App registriert sein. Darüber hinaus darf die Firewall nicht den Ausführungs- oder Startstatus des Windows Security-App-Diensts (wscsvc) ändern, da Teredo von den Statusinformationen abhängig ist, die über die WSC-APIs bereitgestellt werden.
Die API, die zum Registrieren einer Firewall mit der Windows Security-App verwendet wird, kann durch Kontaktieren von Microsoft unter wscisv@microsoft.comabgerufen werden. Eine Geheimhaltungsvereinbarung (Non-Disclosure Agreement, NDA) ist aufgrund von Sicherheitsbedenken für die Offenlegung dieser API erforderlich.
In der folgenden Dokumentation werden die Filter und Ausnahmen beschrieben, die verwendet werden, um eine optimale Kompatibilität mit Teredo sicherzustellen:
- Implementieren von Firewallfiltern für Teredo
- Erforderliche Firewall-Ausnahmen für Teredo-
- Erforderliche Windows-Filterplattform-Ausnahmen für Teredo
Firewallanforderungen für andere IPv6-Übergangstechnologien
Um andere IPv6-Übergangstechnologien (z. B. 6to4 und ISATAP) zu unterstützen, muss das Hostfirewallprodukt in der Lage sein, IPv6-Datenverkehr zu verarbeiten. Das IP-Protokoll 41 gibt an, wann ein IPv6-Header einem IPv4-Header folgt. Wenn eine Hostfirewall auf Protokoll 41 trifft, muss sie erkennen, dass es sich bei dem Paket um ein IPv6-gekapseltes Paket handelt und daher das Paket entsprechend verarbeiten muss und die Annahme-/Ablehnungsentscheidungen basierend auf den IPv6-Regeln in seiner Richtlinie treffen muss.