IPv6协议安不安全

面对复杂的网络协议，存在安全漏洞是必然的。那么现在的新网络标准IPV6协议，是否也同样存在着安全问题呢？这个话题一直被我们所讨论。那么下面我们就来看看专家是如何谈论这个问题的吧。

◆哪些地址选择问题与IPV6协议相关，它们是如何威胁网络安全的？

IPV6主机使用默认地址选择规则，因为每台计算机的网络接口上都有很多不同的IPV6地址。这些规则管理所使用的地址。如果这些默认的地址选择规则被修改了，那么将导致无法预测的后果。这可能是攻击者创建中间人条件或者DoS主机的方式。因此，确保这些地址选择规则与默认规则一致是很重要的。

◆由于IPV6并不向后兼容现有的产品，那么我们必须升级或者实现哪些产品和保护机制来维护IPV6网络的安全？这与IPv4网络有何不同？

你必须确保你使用的安全保护机制是兼容IPV6的。你必须使用防火墙来对IPV6包实施相同的政策，正如你目前配置IPv4一样。同时，防火墙必须能够智能地处理不同的IPV6头。同时，你必须有IPS探测器来检测IPv4包或者 IPV6包上的攻击。因此，你可能需要根据你目前供应商的IPV6功能升级软件或硬件。

在安全性方面，IPv4和IPV6协议之间并没有任何真正的不同。因此，完全相同的工具可以也应该用来保护IPv4和IPV6协议。这其中包括防火墙、入侵防御系统（IPSs）、检测异常行为的行为分析、网络勘测以及所有应用安全性产品，如反垃圾邮件和反病毒，它们可以检查网络上的邮件和Web流量。

强烈推荐你使用相同的设备或者相同的服务器来同时运行IPv4和IPV6协议保护，以便简化管理、减少操作花费，并确保安全性策略对于IPv4和IPV6协议是相同的。

◆IPV6协议是否可能修改为向后兼容IPv4？

这是不可能的。IPV6是完全独立于IPv4的协议。它们可以同时在同一网络链路上运行，但是它们是以"夜航（ships in the night）"方式工作的，并且彼此之间是互相排斥的。在同一网络上运行IPV6 和 IPv4类似于许多年以前我们在同一网络上同时运行IPX 和AppleTalk。它们两者是共存的，但是它们并不是互操作的协议。

IPV6是无法修改来向后兼容IPv4的。但是IETF已经提议了几个迁移机制来协助将IPv4只迁移到双重堆栈并且最后迁移到只使用IPV6的网络（后者还需要很长时间）。在2011年的期限之前，IETF会一直致力于研究其它的迁移机制。目标是，IPv4地址耗尽并迁移到IPV6操作完全对现在和将来的用户透明。

◆哪些工具和产品可以使用来监控和识别IPV6协议网络的弱点？

你可以使用与IPv4主机一样的IPV6漏洞扫描器。唯一的不同点在于在IPV6网络上执行PING扫描是很不实际的，因为地址空间相当的大。然而，当你查找一个主机的IPV6地址时，执行一个有IPV6或者IPv4主机的端口扫描是相当容易的。大多数流行的IPv4工具也同样具备IPV6的功能。

你可以使用目前你用来监控IPv4网络的同一套工具来监控你的IPV6网络。它们很可能需要更新为最近的版本以便支持IPV6。这些工具包括入侵防御系统(IPS)和网络自动勘测，如NetFlow。

◆这些工具也处理安全性问题吗？如果没有，哪些产品可以帮助你处理安全性问题？

典型地，这些工具只能分析出你遇到了问题，它们并不自动帮助你修复问题。修复都是需要系统或者网络管理员通过一个手动过程完成。

现有安全工具的升级版本完全可以消除所有IPV6协议攻击。重新使用相同的工具对于IPv4和IPV6协议都相同的操作会有附加的好处，它们都有财务上的好处（更少的培训）和安全上的好处，因为操作者已经知道如何使用这些工具。