Teredo 安全性模型是以 Windows Vista 內建的 Windows 篩選平臺 (WFP) 技術為基礎。 因此,建議第三方防火牆使用 WFP 來強制執行 Teredo 安全性模型。
Teredo 安全性模型 的一般實作需要下列各項:
- 具備 IPv6 功能的主機防火牆必須向電腦上的 Windows 安全性應用程式註冊。 如果沒有主機型防火牆或 Windows 安全性應用程式本身,Teredo 介面將無法使用。 這是透過 Teredo 介面從因特網接收請求流量的唯一需求。
- 任何透過 Teredo 介面從因特網接收未請求流量的應用程式,都必須向支援 IPv6 的防火牆註冊,例如 Windows 防火牆,才能接收未經請求的流量。
如果透過 Teredo 介面一小時內沒有傳送或接收流量,且符合未經請求流量所需安全性準則的應用程式未執行或其接聽套接字未開啟,則 Teredo 位址將進入休眠狀態。
機器重新啟動之後,或者如果 Teredo 位址失去其資格,Windows Vista 會自動重新獲得位址資格,並在應用程式系結至支援 IPv6 的套接字時立即使其可用。 請務必注意,應用程式所設定的 Windows 防火牆「Edge 周遊」選項,允許透過 Teredo 的未請求流量在重新啟動期間持續運作。
Teredo 的防火牆需求
防火牆廠商可以使用 Windows 篩選平臺的功能,輕鬆地將 Teredo 支援納入其產品,並保護其使用者。 這可以藉由向 Windows 安全性應用程式註冊支援 IPv6 的防火牆、將適當的規則新增至 WFP Teredo 子層,以及使用 Windows 中的內建 API 列舉可能透過 Teredo 接聽未請求流量的應用程式來完成。 在應用程式不需要接聽 Teredo 上請求的流量的情況下,防火牆不需要在 WFP 中新增額外的規則。 不過,透過 Windows 安全性應用程式註冊支援 IPv6 的防火牆仍然是讓 Teredo 位址可供使用的必要條件。
為了支援此案例,防火牆必須具備IPv6功能,且已向Windows安全性應用程式註冊。 此外,防火牆不得變更 Windows 安全性應用程式服務 (wscsvc) 的執行或啟動狀態,因為 Teredo 取決於透過 WSC API 提供的狀態資訊。
透過在 wscisv@microsoft.com連絡 Microsoft,即可取得用來向 Windows 安全性應用程式註冊防火牆的 API。 出於安全考量,披露此 API 需要簽署保密協定(NDA)。
下列文件詳細說明了用來確保與 Teredo 的最佳相容性的篩選條件和例外狀況:
其他 IPv6 轉換技術的防火牆需求
為了支援其他 IPv6 轉換技術(例如 6to4 和 ISATAP),主機防火牆產品必須能夠處理 IPv6 流量。 IP 通訊協定 41 指出 IPv6 標頭遵循 IPv4 標頭的時機。 當主機防火牆遇到通訊協定 41 時,它必須辨識封包是 IPv6 封裝的封包,因此必須適當地處理封包,並根據其原則中的 IPv6 規則做出接受/拒絕決策。