隨著互聯(lián)網(wǎng)的更新，我們迎來了IPv6網(wǎng)絡(luò)協(xié)議的使用，在我們不斷贊揚IPv6網(wǎng)絡(luò)協(xié)議的諸多優(yōu)點后，我們也同樣對它的一些漏洞和問題產(chǎn)生了擔(dān)心。計算機(jī)網(wǎng)絡(luò)協(xié)議版本6(IPv6) 并不提高企業(yè)的Web安全性，但是，當(dāng)從IPv4遷移過來時，對于IPv6網(wǎng)絡(luò)安全性問題的了解有助于你防范公司網(wǎng)絡(luò)中針對IPv6的潛在威脅。Scott Hogg和Eric Vyncke是《IPv6安全性：下一個計算機(jī)網(wǎng)絡(luò)協(xié)議的防護(hù)措施》一書的合著者，他們在這次的采訪中將探討IPv6安全性的含義。使用他們的建議來緩解圍繞協(xié)議安全性的憂慮，并了解能夠減少風(fēng)險的網(wǎng)絡(luò)安全性工具和產(chǎn)品特性。

◆IPv6網(wǎng)絡(luò)協(xié)議能夠提高企業(yè)的Web安全性嗎？客戶的安全性呢？

IPv6不會改變運行在傳輸層之上的任何應(yīng)用。目前，在IPv4應(yīng)用上存在的威脅在IPv6應(yīng)用上也同樣存在。例如，你的雙重協(xié)議Web服務(wù)器很容易受跨站腳本攻擊，那么當(dāng)使用IPv6作為Layer 3協(xié)議時也仍然是會受到攻擊的。引進(jìn)IPv6對于雙重堆棧的客戶計算機(jī)也同樣不受影響。然而，如果是一個企業(yè)或者一個客戶使用的防火墻并不過濾IPv6包，那么他們基本上都是完全開放的。同時，計算機(jī)能夠在用戶不知情的情況下創(chuàng)建到IPv6 Internet的通道，同時，這些通道能夠繞過目前所有只用于IPv4的安全保護(hù)。

下一代的Internet協(xié)議IPv6主要是為了引進(jìn)一個更大型的地址空間，但是在Web安全性方面幾乎沒有任何提高。主要的原因是Web安全性是一個與應(yīng)用安全性相關(guān)的（這些攻擊包括SQL注入，跨網(wǎng)站腳本等等）；同時，應(yīng)用安全性是在部署了新的IPv6后仍然與網(wǎng)絡(luò)層完全獨立的。

◆IPv6網(wǎng)絡(luò)協(xié)議安全性與IPv4安全性相比較，是怎樣的？

在LAN攻擊（ARP、鄰近發(fā)現(xiàn)、DHCP、DHCPv6）、分片攻擊、拒絕服務(wù)攻擊(DoS)等方面，IPv4 和 IPv6安全性之間有一些相似之處。由于IPv6的頭結(jié)構(gòu)和對ICMPv6的大量使用，使得IPv6網(wǎng)絡(luò)協(xié)議有一些新的漏洞。在IPv6中過濾未分配的地址比在IPv4中要容易很多，因為IPv4地址空間是非常分散的。由于NAT并不與IPv6一起使用，所以IPSec更容易用AH和ESP實現(xiàn)，在這個方面IPv6有一些優(yōu)勢。IPv6 和 Mobile IPv6為安全移動通信提供了新的機(jī)遇和新的挑戰(zhàn)。同時，IPv6的傳輸機(jī)制也同樣是攻擊的目標(biāo)。

如果我們在局域網(wǎng)（LAN）或者Internet的網(wǎng)絡(luò)層上比較IPv4和IPv6，那么它們幾乎是一樣的。

巨大數(shù)量的IPv6地址使網(wǎng)絡(luò)掃描無法檢查所有的地址（發(fā)現(xiàn)網(wǎng)絡(luò)上所有計算機(jī)）；但是黑客可以很容易地通過使用DNS或者其它的信息資源來查找可能的目標(biāo)。因此，這并不是一個安全的優(yōu)勢。

標(biāo)準(zhǔn)要求IPv6網(wǎng)絡(luò)協(xié)議的計算機(jī)實現(xiàn)IPsec（使用加密技術(shù)進(jìn)行保密和認(rèn)證），但是，事實上IPv6計算機(jī)是可以自由選擇使用或不使用IPsec的。此外，廣泛地使用IPsec將使信息安全部門的工作更艱難，因為他們無法再使用防火墻（對于加密流量，防火墻是無效的）。

至于Layer 2安全性（Ethernet），我們都知道在IPv4中圍繞ARP的問題很多，其中它可以惡意地重定向流量。IPv6也存在非常類似的問題，只是名稱有所改變：NDP（Neighbor Discovery Protocol)中毒，而不是ARP中毒。這里可以使用相同的減緩技術(shù)。此外，SEcure Neighbor Discovery (SEND)甚至通過加密來保護(hù)NDP，唯一需要說明的是它仍然未在Microsoft Windows 或者 Mac OS/X上實現(xiàn)。

總的來說，IPv4 和IPv6網(wǎng)絡(luò)協(xié)議對于安全性是幾乎相同的。唯一的問題是大多數(shù)網(wǎng)絡(luò)和安全架構(gòu)師和員工都不知道IPv6，并且他們目前缺乏這個新協(xié)議的操作技能。這幾個月是相當(dāng)危險的，只有所有的人都接受了培訓(xùn)和具備了經(jīng)驗才可以有效規(guī)避風(fēng)險。