了应用IPv6数据包过滤策略，防火墙至少必须支持整个IPv6头信息链的处理。理想情况下，这些防火墙还应该支持IPv6转换技术，这样应用于原生IPv6流量的过滤策略可以同样应用到转换流量上。也就是说，防火墙应该有一个“默认拒绝”策略，这样防火墙就能够阻挡您不需要的流量，如转换流量。

对于可能利用多扩展头的资源耗尽攻击，在防火墙上限制一个IPv6数据包支持的最大扩展头数量可以解决这个问题。合理的限制是允许每一个当前定义的扩展头只出现一个实例。然而，也可以使用“16”等其他限制值——例如，OpenBSD就采用这个限制值。这种限制允许合法流量，但不允许异常多数量的扩展头。超过限制的数据包必须丢弃。虽然这可能会影响性能，但是能够防止DoS。

最后，规定在IPv6报文的第一个分片中包含应用数据包过滤策略所需要的完整数据包头信息，能够应付使用分片的防火墙绕行技术。也就是说，在防火墙接收到的报文第一个分片中，如果不包含完整的上层协议头信息，如TCP头，那么这个数据包就会被丢弃。防火墙绕行技术还可以在应用过滤策略之前，通过在防火墙中重新组合分片的报文来解决。然而，对于基于网络的防火墙而言，至少这并不是一种推荐的方法，因为它可能会留下DoS漏洞。

(责任编辑：)