IPv4和IPv6協(xié)議之間的一些糾葛我們總是常常想到。這個(gè)也就是來源于一些方面的。首先在地址方面，這個(gè)應(yīng)該是更偏向于IPv6的使用，應(yīng)用方面，IPv4則是更占有優(yōu)勢。那么在于安全問題呢？似乎這個(gè)更是一個(gè)敏感的話題了。

◆哪些地址選擇問題與IPv6協(xié)議相關(guān)，它們是如何威脅網(wǎng)絡(luò)安全的？

IPv6主機(jī)使用默認(rèn)地址選擇規(guī)則，因?yàn)槊颗_(tái)計(jì)算機(jī)的網(wǎng)絡(luò)接口上都有很多不同的IPv6地址。這些規(guī)則管理所使用的地址。如果這些默認(rèn)的地址選擇規(guī)則被修改了，那么將導(dǎo)致無法預(yù)測的后果。這可能是攻擊者創(chuàng)建中間人條件或者DoS主機(jī)的方式。因此，確保這些地址選擇規(guī)則與默認(rèn)規(guī)則一致是很重要的。

◆由于IPv6并不向后兼容現(xiàn)有的產(chǎn)品，那么我們必須升級(jí)或者實(shí)現(xiàn)哪些產(chǎn)品和保護(hù)機(jī)制來維護(hù)IPv6網(wǎng)絡(luò)的安全？這與IPv4網(wǎng)絡(luò)有何不同？

你必須確保你使用的安全保護(hù)機(jī)制是兼容IPv6的。你必須使用防火墻來對(duì)IPv6包實(shí)施相同的政策，正如你目前配置IPv4一樣。同時(shí)，防火墻必須能夠智能地處理不同的IPv6頭。同時(shí)，你必須有IPS探測器來檢測IPv4包或者 IPv6包上的攻擊。因此，你可能需要根據(jù)你目前供應(yīng)商的IPv6功能升級(jí)軟件或硬件。

在安全性方面，IPv4和IPv6協(xié)議之間并沒有任何真正的不同。因此，完全相同的工具可以也應(yīng)該用來保護(hù)IPv4和IPv6協(xié)議。這其中包括防火墻、入侵防御系統(tǒng)（IPSs）、檢測異常行為的行為分析、網(wǎng)絡(luò)勘測以及所有應(yīng)用安全性產(chǎn)品，如反垃圾郵件和反病毒，它們可以檢查網(wǎng)絡(luò)上的郵件和Web流量。

強(qiáng)烈推薦你使用相同的設(shè)備或者相同的服務(wù)器來同時(shí)運(yùn)行IPv4和IPv6協(xié)議保護(hù)，以便簡化管理、減少操作花費(fèi)，并確保安全性策略對(duì)于IPv4和IPv6協(xié)議是相同的。

◆IPv6協(xié)議是否可能修改為向后兼容IPv4？

這是不可能的。IPv6是完全獨(dú)立于IPv4的協(xié)議。它們可以同時(shí)在同一網(wǎng)絡(luò)鏈路上運(yùn)行，但是它們是以“夜航（ships in the night）”方式工作的，并且彼此之間是互相排斥的。在同一網(wǎng)絡(luò)上運(yùn)行IPv6 和 IPv4類似于許多年以前我們在同一網(wǎng)絡(luò)上同時(shí)運(yùn)行IPX 和AppleTalk。它們兩者是共存的，但是它們并不是互操作的協(xié)議。

IPv6是無法修改來向后兼容IPv4的。但是IETF已經(jīng)提議了幾個(gè)遷移機(jī)制來協(xié)助將IPv4只遷移到雙重堆棧并且最后遷移到只使用IPv6的網(wǎng)絡(luò)（后者還需要很長時(shí)間）。在2011年的期限之前，IETF會(huì)一直致力于研究其它的遷移機(jī)制。目標(biāo)是，IPv4地址耗盡并遷移到IPv6操作完全對(duì)現(xiàn)在和將來的用戶透明。

◆哪些工具和產(chǎn)品可以使用來監(jiān)控和識(shí)別IPv6協(xié)議網(wǎng)絡(luò)的弱點(diǎn)？

你可以使用與IPv4主機(jī)一樣的IPv6漏洞掃描器。唯一的不同點(diǎn)在于在IPv6網(wǎng)絡(luò)上執(zhí)行PING掃描是很不實(shí)際的，因?yàn)榈刂房臻g相當(dāng)?shù)拇蟆Ｈ欢?，?dāng)你查找一個(gè)主機(jī)的IPv6地址時(shí)，執(zhí)行一個(gè)有IPv6或者IPv4主機(jī)的端口掃描是相當(dāng)容易的。大多數(shù)流行的IPv4工具也同樣具備IPv6的功能。

你可以使用目前你用來監(jiān)控IPv4網(wǎng)絡(luò)的同一套工具來監(jiān)控你的IPv6網(wǎng)絡(luò)。它們很可能需要更新為最近的版本以便支持IPv6。這些工具包括入侵防御系統(tǒng)(IPS)和網(wǎng)絡(luò)自動(dòng)勘測，如NetFlow。

◆這些工具也處理安全性問題嗎？如果沒有，哪些產(chǎn)品可以幫助你處理安全性問題？

典型地，這些工具只能分析出你遇到了問題，它們并不自動(dòng)幫助你修復(fù)問題。修復(fù)都是需要系統(tǒng)或者網(wǎng)絡(luò)管理員通過一個(gè)手動(dòng)過程完成。

現(xiàn)有安全工具的升級(jí)版本完全可以消除所有IPv6協(xié)議攻擊。重新使用相同的工具對(duì)于IPv4和IPv6協(xié)議都相同的操作會(huì)有附加的好處，它們都有財(cái)務(wù)上的好處（更少的培訓(xùn)）和安全上的好處，因?yàn)椴僮髡咭呀?jīng)知道如何使用這些工具。