1

支援 IPv6 多點傳播影音平台防護機制報告書

中華民國九十三年九月製作

2

ㄧ、前言

網際網路的快速發展，帶給了使用者無限的便利，只要連上網路，即可透

過網路在彈指之間獲得你要的訊息或完成你想做的事。當大家在享受這方便性

的同時，漸漸的也注意到它的安全性，如何能在開放的網路平台上，既能享受

它的便捷又能受到好的防護機制保護，就是防火牆誕生的原因。防火牆不管在

技術、或 IPv4 產品研發上，已相當成熟。至於在 IPv6 防火牆產品開發呢？IPv6發展至今，技術部分已大致訂定的差不多，大家也考慮到安全性方面，本文，

在第 2 章針對防火牆技術做介紹，包括其基本技術及功能特色；另外在第 3 章對目前支援 IPv6 防火牆的產品，做一介紹。

二、防火牆簡介

防火牆一詞，最早出現在建築物和汽車上，主要是為了阻止火勢蔓延，在

安全與不安全間建立一道牆，保護未受損者減少損失而設計的。所謂的網路防

火牆則是指一套能夠將兩個或兩個以上的網路間，區隔出一條界線的電腦軟硬

體設備。一般來說，防火牆大多架設在公眾網路與組織內部網路之間，成為內

部受信任的網路與外部不受信任的網路之間的區隔通口。 防火牆可以區隔出不同安全等級的網路，包括受信任區、不受信任區與中

立區（demilitarized zone, DMZ），而且提供各個網路間控管的功能。它是一個雙向的安全管理機制，不但可以防止外界的入侵、攻擊，也可以限制內部對外部

的通訊，防止資料外洩等問題。也就是說，當內部與外部互相溝通時，須經過

防火牆的確認手續，才允許一些特定的資料通過，而這些確認手必須事先設定

一些安全規則和政策來完成的。防火牆必須是兩個網路間唯一的出入口，假如

網路中還有其他未受保護的出入口，那麼入侵者或攻擊者可能就會由該處入侵

或攻擊，那防火牆就毫無作用。另外防火牆的安全政策必須是一致的，不可有

些地方嚴格有些地方寬鬆，這樣會形成弱點，而受到攻擊或入侵。在這一章中

將對防火牆做一簡單介紹，包括其基本技術，以及功能與特色。

1.防火牆的基本技術 一般所謂的防火牆包括：封包過濾式與代理式兩種，代理式又可分為應用

層閘道式防火牆與電路層閘道式防火牆，這一節將分別說明之。

(a) 封包過濾式(packet filter)防火牆 封包過濾的方式是最早應用在防火牆的技術，它是運作在 OSI 七層架構的

第三層以下，主要是對於所有經過防火牆的封包做檢查，如果所含的內容符合

預先設定的安全政策，則讓它通過，若不符合則拒絕讓它通過。這個功能與一

般路由器依照位址轉送經過的封包的主要工作相似，因此一般內建可依目的點

或來源點限制封包轉送功能的路由器，即是最簡單的封包過濾式防火牆。但是

3

若將路由器當成防火牆使用，需要比一般路由器多過濾處理一些分析的工作，

所以要使用執行效率較好的高階路由器。 封包過濾式防火牆的優點是速度快、建置容易、成本較低且具有完全通透

性。通常直接利用路由器來當封包過濾式防火牆，不僅不用增加建置成本，而

且使用者往往不會感覺到防火牆的存在。 至於封包過濾式防火牆則有下列的缺點：

由於作用在 OSI 七層架構的第三層以下，因此一些屬於 OSI 架構中較上幾層的無法處理，有時甚至必須預先開放某些埠口，因而造成了一些安

全上的漏洞。 封包過濾的技術最早應用在防火牆，因此一些駭客已開發出繞過封包過濾管制的方式，來攻破此類防火牆。 封包過濾式防火牆通常需要先預設許多的存取規則，這些繁雜的設定手續，往往需要具備足夠的專業知識才能勝任。 封包過濾的方式本身有一些無法克服缺點，所以在實務上，通常避免只使用路由器當防火牆，必須再加上其他的防火牆機制，才能建立更安全

嚴密的防護。

(b) 應用層閘道式(application-level gateway)防火牆 應用層閘道式防火牆是運作在 OSI 七層架構的應用層，它是將內部網路與

外部網路區隔開來，利用一些應用軟體來幫你做連線工作。當您需要連接到外

部網路時，您的請求是先送給代理器（proxy）， proxy 再幫您到真正的目的地去取得，之後再轉送給您。在每一次的代理動作中，代理器都會將資料保留備

份，存在它的快取區，如果再接獲相同的請求，它就直接將存在快取區中的資

料回覆。有些聰明的 proxy 甚至還能知道快取區裡面的資料是否和實際目的地的資料同步，如果發現實際目的地的資料更新，它就會跟著更新自己的快取區。

這類型的防火牆會先將要通過的傳輸連接切斷，再設置另一個連接，從這個連

接的過程中獲得一些必要的資訊，並依照各個應用程式所預先設定的規則，來

決定進出防火牆的內外與擷取資料的許可權。例如公司內部的員工要連上網際

網路時，必須透過防火牆內的代理伺服器，經過代理伺服器的同意，才可連上

網際網路。 這一類的防火牆是作用在 OSI 七層架構的應用層上，對於過往資料的通信

協定皆可以了解，而且目的地的伺服器並無法知道原始發送資料端主機的實際

位址，所以內部的網路可以隱藏起來，加強安全保護。因此，就安全管控來說，

應用層閘道式防火牆在各類型的防火牆中算是最好的。另外這一類的防火牆還

可以提高網路的存取速度，因為如果資料已經在快取區中，則只需在內部網路

裡面傳送，不必經過複雜的路由程序。還有，透過 proxy，也可以省下許多 IP位址，因為內部網路的機器，只要使用私有 IP 即可。

4

應用層閘道式防火牆的缺點有： 與封包過濾應用層閘道式防火牆比起來，它的價格較昂貴。 透過 proxy 的方式，不完全具有透通性。由於代理器不一定隨時服務，或即時對新的應用程式或服務發展出代理程式，因此有些應用程式可能

會莫名其妙地無法執行。 透過多重代理的方式，常常需要修改原有程式執行時的處理過程，使得一些特殊的應用程式無法完全執行。

(c) 電路層閘道式(circuit-level gateway)防火牆 電路層閘道式防火牆是作用於 OSI 七層的交談層，它是介於封包過濾式和

應用層閘道式之間的防火牆。它也是利用代理程式來進行安全管控，當一個核

可的服務接通後，會幫忙建立一個交談(Session)，然後再將埠口關閉，目前最常利用 SOCKS 來建立。而透過 SOCKS 代理，就好像接線生一樣，只是將 TCP 連接由裡面的接口搭到外面的接口而已，其實就是代理 API 請求而已，而真正擔任處理工作的，還是發出請求的主機。有些電路層閘道式防火牆另外具有動態

檢查資料封包狀態的功能，稱為狀態檢驗(Statefull Inspection)技術。就是在防火牆內部建立了一個連結狀態表，利用查驗上層通信協定的同時，順便將過往的

狀態記錄下來。例如公司內部的員工利用 FTP 到網際網路上下載檔案時，防火牆會自動將通信狀態的儲存起來，作為服務返程時進入公司內部網路的核准依

據。 電路層閘道式防火牆最大的優點是它會在客戶端和目的地伺服器間建立起

一條點對點(End-to-End)的虛擬電路，允許許多客戶端同時和多重伺服器溝通，且時並不會修改應用程式的執行過程與處理步驟，通透性很好。另外，可在電

路層閘道式防火牆上增加一些功能，可塑性很高。 電路層閘道式防火牆的缺點有：

此類防火牆在執行時往往必須先修改客戶端的電腦組態，好讓客戶端的應用程式預先知道伺服器的存在，因此在實施上會遇到一些阻力。 在交談建立後，其他的應用程式也可以利用這個交談所建立的管道進入到防火牆內，形成安全防護上的漏洞。

本節所介紹的三種防火牆技術，已涵蓋了目前大部分防火牆可能使用的基

本原理。它們各有優缺點，安全性越高的技術，它的效率也就相對地較差。這

些不同的技術並沒有絕對的好或壞，而是各有其不可取代性，因此，端視使用

者依自己的需要去做抉擇，通常建議不要使用單一的防火牆技術。其實目前大

多數的防火牆不會只使用其中一種技術，而是改良或混合這 3 種技術來提供服務。

5

2. 防火牆的功能與特色 (a) 防火牆的功能

A. 封包過濾功能：可依據系統管理者預先設定的規則，決定網路通訊的許可或拒絕。封包過濾的設定條件包括：資料封包的來源位址、目的位址、連

接網路服務協定的種類以及使用者身分等。防火牆對於所有過往的資料會

依規則判斷，只有符合條件的才可通行。 B. 身分識別：防火牆可以有效地識別網路使用者以及主機的身分，管理使用

權限與確認責任歸屬，以防止駭客假冒身分入侵。 C. 安全稽核：防火牆可以詳細記錄網路流通的狀況，記錄安全相關事件，

以提供系統管理者分析。一般包括：網路服務的連通或拒絕、身分識別、

網路通信的時間、資料傳輸量、異常狀態、系統組態的修改等等。 D. 與防毒軟體的結合：與防毒軟體搭配，甚至直接整合，同時提供防火牆

與防毒的功能。 E. 防駭客攻擊：阻絕駭客常用的攻擊手段如：系統漏洞、管理漏洞、拒絕

服務攻擊(Denial of Service，DoS)及分散式拒絕服務攻擊（Distributed Denial of Service，DDOS）等攻擊，讓駭客無機可乘。

F. 資料加解密功能：提供虛擬私有網路(Virtual Private Network，VPN)功能，對所有網路傳輸建立一個虛擬通道，讓傳輸的內容加密保護，使不同網

路上的使用者能夠安全不受拘束的互相存取，如同在同一個組織內部一

樣。 G. 管理工具：利用圖形化的管理介面，提供系統管理者更方便的設定、管

理及維護介面。 H. 警告通知：當系統被侵入時，防火牆軟體能即時提供通知遠方系統管理

者，以爭取時效，立即採取行動。

(b)防火牆的特色

A. 即插即用：防火牆直接裝置在對外網路的連接點，不會牽涉到內部網路的其他部分，安裝容易且效果明顯。

B. 網路安全集中管控：所有內、外部網路通訊的資料皆須經過防火牆，因此可將安全控制、監督、事件稽核及資料統計等統一在防火牆上進行，進行

最完整的流量控制統計，偵測記錄不正常的存取，以杜絕可能的入侵。

三、 IPv6 防火牆產品

IPv4 與 IPv6 由於封包標頭的差異，及一些延伸議題如端對端連接、行動能力、IPsec、路徑 MTU 探查等，因此在設計 IPv6 防火牆時，必須特別注意。目前 IPv6 的防火牆市場其實還很小，不過包括 CISCO、Juniper Networks、6Wind

6

及 Hitachi 等路由器廠商，已開始在路由器產品上支援 IPv6 封包過濾的功能。至於防火牆廠商如 Checkpoint、NetScreen 的 IPv6 防火牆產品，則在底下介紹。

1. Checkpoint

Checkpoint 目前支援 IPv6 防火牆的產品為 FireWall-1，該產品至 NG-FP2 版開始支援 IPv6，歷經 NG-FP3 版不支援 IPv6，現在的版本 NG-AI（Application Intelligence）R55 則又支援 IPv6。

NG-AI R55 必須安裝在 Solaris 9 且上到最新的 Recommended solaris patch

clusters 的平台上，該設備須有 2 張網卡。NG-AI R55 必須 IPv4 與 IPv6 各一個License，才可執行 IPv6 防火牆的功能。安裝完成後即可透過 GUI 的畫面進行各項設定，如圖 I2-3-1 的建立 IPv6 物件畫面、圖 I2-3-2 的 ACL Policy 設定、及圖I2-3-3 的 Install Policy 畫面。另外，FireWall-1 亦提供管理軟體，可安裝在 Windows平台上，經由 web 進行相關設定管理。

圖 I2-3-1、建立 IPv6 物件畫面

7

圖 I2-3-2、ACL Policy 設定畫面

圖 I2-3-3、Install Policy 畫面

目前 FireWall-1 支援的項目如下： Dual IP Stack IPv4 and IPv6 FireWall IPv6 and IPv4 policy based access control Logging

8

FTP Active and FTP Passive services Simple TCP and UDP services (like HTTP、SMTP、Telnet) DNS ICMPv6 service RIPng Traceroute6 IPv6 ‘Other’ services IPv6 fragments IPv6 extension headers IPv6 in IPv4 tunnels fw6 command, for interfacing with the IPv6 kernel

2. NetScreen

NetScreen 支援 IPv6 防火牆的產品，主要是由 ScreenOS 來決定，從 ScreenOS 4.0.0-IPv6.b1 beta 版即提供 IPv6 防火牆的功能，目前 ScreenOS 5.0.0-IPv6.r18 release 版提供更完整穩定的 IPv6 防火牆的功能。並非所有 NetScreen 的產品皆支援 IPv6 防火牆，支援 ScreenOS 5.0.0-IPv6.r18 的產品有：NetScreen-5XT、-204、-208、-500、及-5200 8G 系列產品。

NetScreen 的設定管理，除了可由 console（如圖 I2-3-4）、telnet（如圖 I2-3-5）

外，亦可透過 web 方式，直接由 IE 做相關管理設定，底下各圖分別說明之。

圖 I2-3-4、console 管理畫面

9

圖 I2-3-5、telnet 管理畫面

圖 I2-3-6、web 登入畫面

NetScreen 各項功能的管理設定，均可透過瀏覽器達到，如圖 I2-3-7，只需

由左邊點選想要設定或了解的選項，即可了解或進行各項設定。

10

圖 I2-3-7、設定管理畫面

圖 I2-3-8、IPv6 位址設定畫面

11

圖 I2-3-9、ND 與 RA 設定畫面

圖 I2-3-9、DHCPv6 設定畫面

12

圖 I2-3-10、PPPoE 設定畫面

13

圖 I2-3-11、IPv4/IPv6 Routing 管理畫面

14

圖 I2-3-12、IPv6 Routing 設定畫面

15

圖 I2-3-13、NetScreen Policy 管理畫面

16

圖 I2-3-14、VPN 管理畫面

圖 I2-3-15、NetScreen Fireware 更新畫面

17

NetScreen Fireware 的更新亦可透過瀏覽器進行，例如將 ScreenOS 4.0.0 更新

為 ScreenOS 5.0.0-IPv6.r18，即可將新的 OS 放在個人電腦上，透過 IE 進行更新，如圖 I2-3-15。

ScreenOS 5.0.0-IPv6.r18 版支援的項目如下：

（A） Addressing and Forwarding 部分 IPv6 Address：Auto-configuration、DHCPv6 RADIUSv6 Client Xauth IPv6 Neighbor Discovery Virtual System Support SSH for IPv6 DNS Proxy and Client

（B） Routing and Transition 部分 Full IPv6 Protocol Stack Dual Stack RIPng PPPoEv6 Support SNMP MIB Management similar to IPv4 Tunneling 6to4

（C） Security 部分 Firewall functionality：ALGs - DNS、 FTP、TFTP and ICMPv6 IPSec and IKE for IPv6；3DES IPSec Tunneling NAT-PT：Address Translation 6 to 4 and 4 to 6 Synflood protection

四、參考資料

[1] http://lips.lis.ntu.edu.tw/ytchiang/study/others/firewall.htm [2] http://www.ipv6.org.tw/NDHU/article/20030103.htm [3] http://www.juniper.net/techpubs/software/screenos/screenos5x/ [4] http://www.study-area.org/network/network_fw.htm [5] http://www.checkpoint.com/press/2004/ipv6prot032204.html