實作 Teredo 安全性模型

Teredo 安全性模型是以內建于 Windows Vista 中的Windows篩選平臺 () 技術為基礎。 因此，建議使用協力廠商防火牆來強制執行 Teredo 安全性模型。

Teredo 安全性模型的一般實作需要下列各項：

• 具備 IPv6 功能的主機防火牆必須向電腦上的 Windows 安全性 應用程式註冊。 如果沒有主機型防火牆或Windows 安全性應用程式本身，Teredo 介面將無法使用。 這是透過 Teredo 介面接收來自網際網路的要求流量的唯一需求。
• 任何透過 Teredo 介面從網際網路接收未經要求流量的應用程式，都必須向支援 IPv6 的防火牆註冊，例如Windows防火牆，才能接收未經請求的流量。

如果流量尚未透過 Teredo 介面傳送或接收一小時，且不符合未要求流量的必要安全性準則的應用程式未執行或未開啟接聽通訊端，Teredo 位址將會變成休眠狀態。

重新開機電腦之後，或 Teredo 位址失去其資格，Windows Vista 會自動限定位址，並在應用程式系結至支援 IPv6 的通訊端時立即使用。 請務必注意，應用程式所設定Windows防火牆「Edge 周遊」選項，允許透過 Teredo 透過 Teredo 的未經要求流量在重新開機時持續存在。

Teredo 的防火牆需求

防火牆廠商可以使用Windows篩選平臺的功能，輕鬆地將 Teredo 支援納入其產品中，並保護其使用者。 這可藉由向Windows 安全性應用程式註冊 IPv6 功能防火牆、將適當的規則新增至「TERedo」子層，以及使用 Windows 中的內建 API 來列舉可能會透過 Teredo 接聽未要求流量的應用程式來完成。 在應用程式不需要透過 Teredo 接聽請求的流量的情況下，防火牆不需要將其他規則新增至其至「計畫」。 不過，支援 IPv6 的防火牆註冊與Windows 安全性應用程式仍然需要讓 Teredo 位址可供使用。

為了支援此案例，防火牆必須具備 IPv6 功能，且已向Windows 安全性應用程式註冊。 此外，防火牆不得變更Windows 安全性 app Service (wscsvc) 的執行狀態或啟動狀態，因為 Teredo 取決於透過 WSC API 提供的狀態資訊。

透過連絡 Microsoft wscisv@microsoft.com ，即可取得用來向Windows 安全性應用程式註冊防火牆的 API。 由於安全性考慮，需要有洩漏合約 (NDA) 才能洩漏此 API。

下列檔詳細說明使用的篩選準則和例外狀況，以確保與 Teredo 的最佳相容性：

• 實作 Teredo 的防火牆篩選
• Teredo 的必要防火牆例外狀況
• Teredo 的必要Windows篩選平臺例外狀況

其他 IPv6 轉換技術的防火牆需求

為了支援其他 IPv6 轉換技術 (，例如 6to4 和 ISATAP) ，主機防火牆產品必須能夠處理 IPv6 流量。 IP 通訊協定 41 指出 IPv6 標頭遵循 IPv4 標頭的時機。 當主機防火牆遇到通訊協定 41 時，它必須辨識封包是 IPv6 封裝的封包，因此必須適當地處理封包，並根據其原則中的 IPv6 規則做出接受/拒絕決策。