为了应用IPv6数据包过滤策略，防火墙至少必须支持整个IPv6头信息链的处理。理想情况下，这些防火墙还应该支持IPv6转换技术，这样应用于原生IPv6流量的过滤策略可以同样应用到转换流量上。也就是说，防火墙应该有一个“默认拒绝”策略，这样防火墙就能够阻挡您不需要的流量，如转换流量。

　　对于可能利用多扩展头的资源耗尽攻击，在防火墙上限制一个IPv6数据包支持的最大扩展头数量可以解决这个问题。合理的限制是允许每一个当前定义的扩展头只出现一个实例。然而，也可以使用“16”等其他限制值——例如，OpenBSD就采用这个限制值。这种限制允许合法流量，但不允许异常多数量的扩展头。超过限制的数据包必须丢弃。虽然这可能会影响性能，但是能够防止DoS。

　　最后，规定在IPv6报文的第一个分片中包含应用数据包过滤策略所需要的完整数据包头信息，能够应付使用分片的防火墙绕行技术。也就是说，在防火墙接收到的报文第一个分片中，如果不包含完整的上层协议头信息，如TCP头，那么这个数据包就会被丢弃。防火墙绕行技术还可以在应用过滤策略之前，通过在防火墙中重新组合分片的报文来解决。然而，对于基于网络的防火墙而言，至少这并不是一种推荐的方法，因为它可能会留下DoS漏洞。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。