面對(duì)復(fù)雜的網(wǎng)絡(luò)協(xié)議，存在安全漏洞是必然的。那么現(xiàn)在的新網(wǎng)絡(luò)標(biāo)準(zhǔn)IPv6協(xié)議，是否也同樣存在著安全問(wèn)題呢？這個(gè)話題一直被我們所討論。那么下面我們就來(lái)看看專家是如何談?wù)撨@個(gè)問(wèn)題的吧。

◆哪些地址選擇問(wèn)題與IPv6協(xié)議相關(guān)，它們是如何威脅網(wǎng)絡(luò)安全的？

IPv6主機(jī)使用默認(rèn)地址選擇規(guī)則，因?yàn)槊颗_(tái)計(jì)算機(jī)的網(wǎng)絡(luò)接口上都有很多不同的IPv6地址。這些規(guī)則管理所使用的地址。如果這些默認(rèn)的地址選擇規(guī)則被修改了，那么將導(dǎo)致無(wú)法預(yù)測(cè)的后果。這可能是攻擊者創(chuàng)建中間人條件或者DoS主機(jī)的方式。因此，確保這些地址選擇規(guī)則與默認(rèn)規(guī)則一致是很重要的。

◆由于IPv6并不向后兼容現(xiàn)有的產(chǎn)品，那么我們必須升級(jí)或者實(shí)現(xiàn)哪些產(chǎn)品和保護(hù)機(jī)制來(lái)維護(hù)IPv6網(wǎng)絡(luò)的安全？這與IPv4網(wǎng)絡(luò)有何不同？

你必須確保你使用的安全保護(hù)機(jī)制是兼容IPv6的。你必須使用防火墻來(lái)對(duì)IPv6包實(shí)施相同的政策，正如你目前配置IPv4一樣。同時(shí)，防火墻必須能夠智能地處理不同的IPv6頭。同時(shí)，你必須有IPS探測(cè)器來(lái)檢測(cè)IPv4包或者 IPv6包上的攻擊。因此，你可能需要根據(jù)你目前供應(yīng)商的IPv6功能升級(jí)軟件或硬件。

在安全性方面，IPv4和IPv6協(xié)議之間并沒(méi)有任何真正的不同。因此，完全相同的工具可以也應(yīng)該用來(lái)保護(hù)IPv4和IPv6協(xié)議。這其中包括防火墻、入侵防御系統(tǒng)（IPSs）、檢測(cè)異常行為的行為分析、網(wǎng)絡(luò)勘測(cè)以及所有應(yīng)用安全性產(chǎn)品，如反垃圾郵件和反病毒，它們可以檢查網(wǎng)絡(luò)上的郵件和Web流量。

強(qiáng)烈推薦你使用相同的設(shè)備或者相同的服務(wù)器來(lái)同時(shí)運(yùn)行IPv4和IPv6協(xié)議保護(hù)，以便簡(jiǎn)化管理、減少操作花費(fèi)，并確保安全性策略對(duì)于IPv4和IPv6協(xié)議是相同的。

◆IPv6協(xié)議是否可能修改為向后兼容IPv4？

這是不可能的。IPv6是完全獨(dú)立于IPv4的協(xié)議。它們可以同時(shí)在同一網(wǎng)絡(luò)鏈路上運(yùn)行，但是它們是以“夜航（ships in the night）”方式工作的，并且彼此之間是互相排斥的。在同一網(wǎng)絡(luò)上運(yùn)行IPv6 和 IPv4類似于許多年以前我們?cè)谕痪W(wǎng)絡(luò)上同時(shí)運(yùn)行IPX 和AppleTalk。它們兩者是共存的，但是它們并不是互操作的協(xié)議。

IPv6是無(wú)法修改來(lái)向后兼容IPv4的。但是IETF已經(jīng)提議了幾個(gè)遷移機(jī)制來(lái)協(xié)助將IPv4只遷移到雙重堆棧并且最后遷移到只使用IPv6的網(wǎng)絡(luò)（后者還需要很長(zhǎng)時(shí)間）。在2011年的期限之前，IETF會(huì)一直致力于研究其它的遷移機(jī)制。目標(biāo)是，IPv4地址耗盡并遷移到IPv6操作完全對(duì)現(xiàn)在和將來(lái)的用戶透明。

◆哪些工具和產(chǎn)品可以使用來(lái)監(jiān)控和識(shí)別IPv6協(xié)議網(wǎng)絡(luò)的弱點(diǎn)？

你可以使用與IPv4主機(jī)一樣的IPv6漏洞掃描器。唯一的不同點(diǎn)在于在IPv6網(wǎng)絡(luò)上執(zhí)行PING掃描是很不實(shí)際的，因?yàn)榈刂房臻g相當(dāng)?shù)拇?。然而，?dāng)你查找一個(gè)主機(jī)的IPv6地址時(shí)，執(zhí)行一個(gè)有IPv6或者IPv4主機(jī)的端口掃描是相當(dāng)容易的。大多數(shù)流行的IPv4工具也同樣具備IPv6的功能。

你可以使用目前你用來(lái)監(jiān)控IPv4網(wǎng)絡(luò)的同一套工具來(lái)監(jiān)控你的IPv6網(wǎng)絡(luò)。它們很可能需要更新為最近的版本以便支持IPv6。這些工具包括入侵防御系統(tǒng)(IPS)和網(wǎng)絡(luò)自動(dòng)勘測(cè)，如NetFlow。

◆這些工具也處理安全性問(wèn)題嗎？如果沒(méi)有，哪些產(chǎn)品可以幫助你處理安全性問(wèn)題？

典型地，這些工具只能分析出你遇到了問(wèn)題，它們并不自動(dòng)幫助你修復(fù)問(wèn)題。修復(fù)都是需要系統(tǒng)或者網(wǎng)絡(luò)管理員通過(guò)一個(gè)手動(dòng)過(guò)程完成。

現(xiàn)有安全工具的升級(jí)版本完全可以消除所有IPv6協(xié)議攻擊。重新使用相同的工具對(duì)于IPv4和IPv6協(xié)議都相同的操作會(huì)有附加的好處，它們都有財(cái)務(wù)上的好處（更少的培訓(xùn)）和安全上的好處，因?yàn)椴僮髡咭呀?jīng)知道如何使用這些工具。