面對復(fù)雜的網(wǎng)絡(luò)協(xié)議，存在安全漏洞是必然的。那么現(xiàn)在的新網(wǎng)絡(luò)標準IPv6協(xié)議，是否也同樣存在著安全問題呢？這個話題一直被我們所討論。那么下面我們就來看看專家是如何談?wù)撨@個問題的吧。

◆哪些地址選擇問題與IPv6協(xié)議相關(guān)，它們是如何威脅網(wǎng)絡(luò)安全的？

IPv6主機使用默認地址選擇規(guī)則，因為每臺計算機的網(wǎng)絡(luò)接口上都有很多不同的IPv6地址。這些規(guī)則管理所使用的地址。如果這些默認的地址選擇規(guī)則被修改了，那么將導(dǎo)致無法預(yù)測的后果。這可能是攻擊者創(chuàng)建中間人條件或者DoS主機的方式。因此，確保這些地址選擇規(guī)則與默認規(guī)則一致是很重要的。

◆由于IPv6并不向后兼容現(xiàn)有的產(chǎn)品，那么我們必須升級或者實現(xiàn)哪些產(chǎn)品和保護機制來維護IPv6網(wǎng)絡(luò)的安全？這與IPv4網(wǎng)絡(luò)有何不同？

你必須確保你使用的安全保護機制是兼容IPv6的。你必須使用防火墻來對IPv6包實施相同的政策，正如你目前配置IPv4一樣。同時，防火墻必須能夠智能地處理不同的IPv6頭。同時，你必須有IPS探測器來檢測IPv4包或者 IPv6包上的攻擊。因此，你可能需要根據(jù)你目前供應(yīng)商的IPv6功能升級軟件或硬件。

在安全性方面，IPv4和IPv6協(xié)議之間并沒有任何真正的不同。因此，完全相同的工具可以也應(yīng)該用來保護IPv4和IPv6協(xié)議。這其中包括防火墻、入侵防御系統(tǒng)（IPSs）、檢測異常行為的行為分析、網(wǎng)絡(luò)勘測以及所有應(yīng)用安全性產(chǎn)品，如反垃圾郵件和反病毒，它們可以檢查網(wǎng)絡(luò)上的郵件和Web流量。

強烈推薦你使用相同的設(shè)備或者相同的服務(wù)器來同時運行IPv4和IPv6協(xié)議保護，以便簡化管理、減少操作花費，并確保安全性策略對于IPv4和IPv6協(xié)議是相同的。

◆IPv6協(xié)議是否可能修改為向后兼容IPv4？

這是不可能的。IPv6是完全獨立于IPv4的協(xié)議。它們可以同時在同一網(wǎng)絡(luò)鏈路上運行，但是它們是以“夜航（ships in the night）”方式工作的，并且彼此之間是互相排斥的。在同一網(wǎng)絡(luò)上運行IPv6 和 IPv4類似于許多年以前我們在同一網(wǎng)絡(luò)上同時運行IPX 和AppleTalk。它們兩者是共存的，但是它們并不是互操作的協(xié)議。

IPv6是無法修改來向后兼容IPv4的。但是IETF已經(jīng)提議了幾個遷移機制來協(xié)助將IPv4只遷移到雙重堆棧并且最后遷移到只使用IPv6的網(wǎng)絡(luò)（后者還需要很長時間）。在2011年的期限之前，IETF會一直致力于研究其它的遷移機制。目標是，IPv4地址耗盡并遷移到IPv6操作完全對現(xiàn)在和將來的用戶透明。

◆哪些工具和產(chǎn)品可以使用來監(jiān)控和識別IPv6協(xié)議網(wǎng)絡(luò)的弱點？

你可以使用與IPv4主機一樣的IPv6漏洞掃描器。唯一的不同點在于在IPv6網(wǎng)絡(luò)上執(zhí)行PING掃描是很不實際的，因為地址空間相當?shù)拇?。然而，當你查找一個主機的IPv6地址時，執(zhí)行一個有IPv6或者IPv4主機的端口掃描是相當容易的。大多數(shù)流行的IPv4工具也同樣具備IPv6的功能。

你可以使用目前你用來監(jiān)控IPv4網(wǎng)絡(luò)的同一套工具來監(jiān)控你的IPv6網(wǎng)絡(luò)。它們很可能需要更新為最近的版本以便支持IPv6。這些工具包括入侵防御系統(tǒng)(IPS)和網(wǎng)絡(luò)自動勘測，如NetFlow。

◆這些工具也處理安全性問題嗎？如果沒有，哪些產(chǎn)品可以幫助你處理安全性問題？

典型地，這些工具只能分析出你遇到了問題，它們并不自動幫助你修復(fù)問題。修復(fù)都是需要系統(tǒng)或者網(wǎng)絡(luò)管理員通過一個手動過程完成。

現(xiàn)有安全工具的升級版本完全可以消除所有IPv6協(xié)議攻擊。重新使用相同的工具對于IPv4和IPv6協(xié)議都相同的操作會有附加的好處，它們都有財務(wù)上的好處（更少的培訓(xùn)）和安全上的好處，因為操作者已經(jīng)知道如何使用這些工具。