Support IPv6

Le support d’IPv6, proposé dans cette version, permet aux Firewalls d’être intégrés dans des infrastructures IPv4 et/ou IPv6. Les fonctions de Réseau (interfaces et routage), Filtrage, VPN et Administration sont compatibles IPv6. Ce support est optionnel et activable dans le module Configuration.

L’interface d’administration web est alors accessible indifféremment en IPv6 ou IPv4 car les interfaces réseau du Firewall peuvent disposer d’une adresse IPv6 fixe seule ou en complément d’une adresse IPv4 (double pile). Les routes statiques et passerelles peuvent désormais être renseignées en IPv6 ; de plus, le routage dynamique embarqué sur les Firewalls Stormshield Network (Bird6) est également compatible.

Le mécanisme SLAAC (StateLess Address AutoConfiguration) est implémenté sur le Firewall Stormshield Network afin de générer des Annonces Routeur (RA - Router Advertisements). Celles-ci permettent l’auto-configuration des machines du réseau par la distribution des préfixes IPv6 à utiliser. Ces annonces permettent également de communiquer des paramètres DNS (Support du RDNSS - RFC 6106) et de définir le Firewall comme passerelle par défaut. Ce mécanisme peut être complété par le service de serveur ou relai DCHPv6 du firewall, pour bénéficier par exemple de la réservation d’adresses en IPv6.

Les objets réseau (machines, réseaux et plages d’adresses IP) peuvent être adressés en IPv6, ou de manière hybride. Les politiques de filtrage sont ainsi applicables aux objets IPv6 et peuvent faire appel à l’inspection de sécurité (profils d’inspection personnalisables). En revanche, les fonctions d’inspections applicatives (Antivirus, Antispam et filtrages URL, SMTP, FTP et SSL) ne sont pas disponibles dans cette version. De même, il n’est pas possible de réaliser de la translation d’adresses (NAT) sur des objets IPv6.

NOTE
Pour chacune des interfaces définies en mode IPv6 et appartenant à un bridge, il est nécessaire de désactiver l’option de routage sans analyse du protocole IPv6 (onglet configuration avancée du module Réseau > Interfaces), afin d’autoriser le filtrage de ce trafic.

Les tunnels IPsec sont également compatibles IPv6 ; il est ainsi possible d’établir des tunnels entre deux extrémités IPv6 et d’y faire transiter indifféremment des flux IPv4 ou IPv6. Inversement, les flux IPv6 peuvent emprunter des tunnels IPsec IPv4.