IPV6_PROTECTION_LEVEL
IPV6_PROTECTION_LEVEL yuva seçeneği, geliştiricilerin IPv6 yuvalarına erişim kısıtlamaları yerleştirmesini sağlar. Bu tür kısıtlamalar, özel LAN üzerinde çalışan bir uygulamanın kendisini dış saldırılara karşı basit ve sağlam bir şekilde sağlamlaştırmasını sağlar. IPV6_PROTECTION_LEVEL yuva seçeneği, bir dinleme yuvasının kapsamını genişletir veya daraltır; uygun olduğunda genel ve özel kullanıcılardan kısıtlanmamış erişimi etkinleştirir veya gerektiğinde yalnızca aynı siteye erişimi kısıtlar.
IPV6_PROTECTION_LEVEL şu anda üç tanımlı koruma düzeyi vardır.
| Koruma düzeyi | Açıklama |
|---|---|
|
PROTECTION_LEVEL_UNRESTRICTED |
Windows'ta yerleşik IPv6 NAT dolaşma özelliklerinden (örneğin Teredo) yararlanan uygulamalar da dahil olmak üzere İnternet üzerinde çalışacak şekilde tasarlanmış uygulamalar tarafından kullanılır. Bu uygulamalar IPv4 güvenlik duvarlarını atlayabilir, bu nedenle uygulamaların açık bağlantı noktasına yönlendirilen İnternet saldırılarına karşı sağlamlaştırılmış olması gerekir. |
|
PROTECTION_LEVEL_EDGERESTRICTED |
İnternet üzerinde çalışacak şekilde tasarlanmış uygulamalar tarafından kullanılır. Bu ayar, Windows Teredo uygulamasını kullanarak NAT geçişi gerçekleştirmeye izin vermez. Bu uygulamalar IPv4 güvenlik duvarlarını atlayabilir, bu nedenle uygulamaların açık bağlantı noktasına yönlendirilen İnternet saldırılarına karşı sağlamlaştırılmış olması gerekir. |
|
PROTECTION_LEVEL_RESTRICTED |
İnternet senaryoları uygulamayan intranet uygulamaları tarafından kullanılır. Bu uygulamalar genellikle İnternet stili saldırılara karşı test edilmez veya sağlamlaştırılmaz. Bu ayar, alınan trafiği yalnızca yerel bağlantıyla sınırlandıracaktır. |
Aşağıdaki kod örneği, her birinin tanımlı değerlerini sağlar:
#define PROTECTION_LEVEL_UNRESTRICTED 10 /* for peer-to-peer apps */
#define PROTECTION_LEVEL_EDGERESTRICTED 20 /* Same as unrestricted, except for Teredo */
#define PROTECTION_LEVEL_RESTRICTED 30 /* for Intranet apps */
Bu değerler birbirini dışlar ve tek bir setsockopt işlev çağrısında birleştirilemez. Bu yuva seçeneği için diğer değerler ayrılmıştır. Bu koruma düzeyleri yalnızca gelen bağlantılar için geçerlidir. Bu yuva seçeneğinin ayarlanması, giden paketler veya bağlantılar üzerinde hiçbir etkiye sahip değildir.
Windows 7 ve Windows Server 2008 R2'de, IPV6_PROTECTION_LEVEL için varsayılan değer belirtilmez ve PROTECTION_LEVEL_DEFAULT IPV6_PROTECTION_LEVEL için geçersiz bir değer olan -1 olarak tanımlanır.
Windows Vista ve Windows Server 2008'de, IPV6_PROTECTION_LEVEL için varsayılan değer PROTECTION_LEVEL_UNRESTRICTED ve PROTECTION_LEVEL_DEFAULT IPV6_PROTECTION_LEVEL için geçersiz bir değer olan -1 olarak tanımlanır.
Windows Server 2003 ve Windows XP'de, IPV6_PROTECTION_LEVEL için varsayılan değer PROTECTION_LEVEL_EDGERESTRICTED ve PROTECTION_LEVEL_DEFAULTPROTECTION_LEVEL_EDGERESTRICTEDolarak tanımlanır.
Not
Yuva bağlanmadan önce IPV6_PROTECTION_LEVEL yuva seçeneği ayarlanmalıdır. Aksi takdirde, bağlama ve setsockopt çağrıları arasında alınan paketler PROTECTION_LEVEL_EDGERESTRICTEDile uyumlu olur ve uygulamaya teslim edilebilir.
Aşağıdaki tabloda, her koruma düzeyini bir dinleme yuvasına uygulamanın etkisi açıklanmaktadır.
Koruma düzeyi
Gelen trafiğe izin verilir
Aynı site
Dış
NAT geçişi (Teredo)
PROTECTION_LEVEL_RESTRICTED
Evet
Hayır
Hayır
PROTECTION_LEVEL_EDGERESTRICTED
Evet
Evet
Hayır
PROTECTION_LEVEL_UNRESTRICTED
Evet
Evet
Evet
Yukarıdaki tabloda, Aynı site sütunu aşağıdakilerin bir bileşimidir:
- Yerel adresleri bağlama
- Site Yerel adresleri
- Aynı siteye ait olduğu bilinen genel adresler (site ön eki tablosuyla eşleşen)
Windows 7 ve Windows Server 2008 R2'de, IPV6_PROTECTION_LEVEL için varsayılan değer belirtilmez. Yerel bilgisayarda uç geçişine duyarlı güvenlik duvarı yazılımı yüklü değilse (Windows güvenlik duvarı devre dışı bırakılmışsa veya Teredo trafiğini yoksayan başka bir güvenlik duvarı yüklüyse), Teredo trafiğini yalnızca IPV6_PROTECTION_LEVEL yuva seçeneğini PROTECTION_LEVEL_UNRESTRICTEDolarak ayarlarsanız alırsınız. Ancak, Windows güvenlik duvarı veya kenardan geçiş kullanan herhangi bir güvenlik duvarı ilkesi, güvenlik duvarının ilke ayarlarına göre bu seçeneği yoksayabilir. Bu yuva seçeneğini PROTECTION_LEVEL_UNRESTRICTEDolarak ayarlayarak uygulama, yerel makinede yüklü konak güvenlik duvarı tarafından kenardan geçirilen trafiği almak için açık amacını iletmektedir. Bu nedenle, uç geçişi algılayan bir ana bilgisayar güvenlik duvarı yüklüyse, paketi kabul etme konusunda son karara sahip olur. Varsayılan olarak, herhangi bir yuva seçeneği ayarlanmadan:
- o Yerel bilgisayarda Windows güvenlik duvarı etkinse (veya başka bir kenardan geçişe duyarlı ana bilgisayar güvenlik duvarı yüklüyse), uyguladığı her şey gözlemlenir. Tipik kenar geçişi kullanan konak güvenlik duvarı, Teredo trafiğini varsayılan olarak engeller. Bu nedenle, uygulamalar varsayılanı PROTECTION_LEVEL_EDGERESTRICTEDgibi gözlemler.
- o Windows güvenlik duvarı etkinleştirilmemişse ve yerel sistemde kenardan geçiş kullanan başka bir konak güvenlik duvarı yüklü değilse, varsayılan PROTECTION_LEVEL_EDGERESTRICTEDolur.
Windows Vista ve Windows Server 2008'de, IPV6_PROTECTION_LEVEL için varsayılan değer PROTECTION_LEVEL_UNRESTRICTED. Ancak geçerli değer, Windows güvenlik duvarının etkinleştirilip etkinleştirilmediğine bağlıdır. Windows güvenlik duvarı, IPV6_PROTECTION_LEVEL için hangi değer ayarlanırsa ayarlansın kenardan geçişe duyarlıdır (Teredo farkındadır) ve IPV6_PROTECTION_LEVEL PROTECTION_LEVEL_UNRESTRICTEDise yoksayar. Bu nedenle geçerli değer güvenlik duvarı ilkesine bağlıdır. Windows güvenlik duvarı devre dışı bırakıldığında ve yerel bilgisayarda kenardan geçişe duyarlı başka bir güvenlik duvarı yüklenmediğinde, IPV6_PROTECTION_LEVEL için varsayılan değer PROTECTION_LEVEL_UNRESTRICTED.
Windows Server 2003 ve Windows XP'de, IPV6_PROTECTION_LEVEL için varsayılan değer PROTECTION_LEVEL_EDGERESTRICTED. IPV6_PROTECTION_LEVEL yuva seçeneğini PROTECTION_LEVEL_UNRESTRICTEDolarak ayarlamadıysanız, teredo trafiği almazsınız.
IPV6_PROTECTION_LEVEL bağlı olarak, İnternet'ten istenmeyen trafik gerektiren bir uygulama istenmeyen trafik alamayabilir. Ancak, bu gereksinimler Windows Teredo arabirimi üzerinden istenen trafiği almak için gerekli değildir. Teredo ile etkileşim hakkında daha fazla bilgi için bkz. Teredo Üzerinden İstenen Trafiği Alma.
Ayarlanan koruma düzeyi nedeniyle gelen paketler veya bağlantılar reddedildiğinde, reddetme, bu yuvada hiçbir uygulama dinliyormuş gibi işlenir.
Not
IPV6_PROTECTION_LEVEL yuva seçeneği, IPv6 yuvalarına erişim kısıtlaması uygulamaz veya Windows Teredo dışında bir yöntem kullanarak veya başka bir satıcı tarafından teredo'nun başka bir uygulamasını kullanarak NAT geçişi kısıtlamaz.
İlgili konular