IPv6防火牆對安全的影響

IPv6頭信息鏈結構的靈活性優於IPv4，因為它不限制數據包可以包含的數量。然而，這種靈活性也是有代價的。

    任何需要獲取上層信息（如TCP端口號）的系統，都需要處理整個IPv6頭信息鏈。而且，由於當前的協議標准支持任意數量的擴展頭，包括同一種擴展頭的多個實例，因此它會對防火牆等設備造成多種影響：

    防火牆需要解析多個擴展頭，才能夠執行深度數據包檢測（DPI），它可能會降低WAN性能，引發拒絕服務（DoS）攻擊，或者防火牆被繞過。

    組合擴展頭和分片可能妨礙數據包檢測。

    正如前面介紹的，由於當前的協議規 范支持任意數量的擴展頭，包括同一種擴展頭類型的多個實例，因此防火牆必須能夠細致地處理包括異常的多IPv6擴展頭信息的數據包。而這可能被一些攻擊者 利用，他們可能故意在數據包中加入大量的擴展頭，使防火牆在處理上述數據包時浪費過多資源。最終，這可能會引起防火牆性能下降，或者造成防火牆本身出現 DoS問題。此外，有一些性能不佳的防火牆在應用過濾策略時，可能無法處理整個IPv6頭信息鏈，從而可能讓一些攻擊者利用擴展頭威脅相應的防火牆。

    IPv6分片也可能被惡意利用，方法與IPv4的類似。例如，為了破壞防火牆的過濾策略，攻擊者可能會發送一些重疊的分片，從而影響目標主機的分片重組過 程。在IPv6中，這個問題更為嚴重，因為多個IPv6擴展頭和分片的組合可能產生一些錯誤分片，盡管它們的數據包大小是“正常的”，但是它們丟失了一些 實施過濾策略通常需要的基本信息，如TCP端口號。即，數據包的第一個分片可能包含很多IPv6選項，以致上層協議頭可能屬於另一個分片，而不是第一個分片。