在互聯網的不斷發展的過程中，折射出更為突出的安全問題。現在，IPv6的商用，給我們帶來了更為嚴峻的安全問題。IPv6安全問題，是否能是我們完全放心地使用互聯網呢？這里，筆者認為，不管是哪個時代，哪個領域安全問題永遠是不滅的話題。

IPv6安全問題

IPv6能徹底解決互聯網中的安全問題嗎？

原來的互聯網安全機制只建立于應用程序級，如E-mail加密、SNMPv2網絡管理安全、接入安全（HTTP、SSL）等，無法從IP層來保證Internet的安全。為了加強互聯網的安全性，從1995年開始，IETF著手研究制定了一套IP安全（IP Security，IPSec）協議用于保護IP通信的安全。IPSec提供既可用于IPv4也可用于IPv6的安全性機制，它是IPv6的一個組成部分，也是IPv4的一個可選擴展協議。通過集成IPSec，IPv6實現了IP級的安全。IPSec提供如下安全性服務：訪問控制、無連接的完整性、數據源身份認證、防御包重傳攻擊、保密、有限的業務流保密性。

IPSec的認證報頭（Authentication Header，AH，RFC2402中描述）協議定義了認證的應用方法，封裝安全負載（Encapsulating Security Payload，ESP，RFC2406中描述）協議定義了加密和可選認證的應用方法。IPSec安全性服務完全通過AH和ESP頭相結合的機制來提供，當然還要有正確的相關密鑰管理協議。在實際進行IP通信時，可以根據安全需求同時使用這兩種協議或選擇使用其中的一種。

IPv6實質上不會比IPv4更加安全。IPv6標準的起草者、思科總部的兩位“杰出網絡技術領袖”Fred Baker和 Tony Hain認為IPv6從根本上來說，只是IP地址改變的協議包，并不能解決現在的互聯網協議IPv4中的安全問題。但是由于IPSec提供的端到端安全性的兩個基本組件——認證和加密——都是IPv6協議的必備組件，而在IPv4中，它們只是可選組件，因此，采用IPv6，安全性會更加簡便、一致。更重要的是，IPv6使我們有機會在將網絡轉換到這種新型協議的同時發展端到端安全性。

為解決IPv6安全問題，傳統的安全設備需要做那些改進？

IPv6網絡中仍需要使用防火墻、入侵檢測系統等傳統的安全設備，但由于IPv6的一些新特點，IPv4網中現有的這些安全設備在IPv6網中不能直接使用，還需要做些改進：

防火墻的設計

由于IPv6相對IPv4在數據報頭上有了很大的改變，所以原來的防火墻產品在IPv6網絡上不能直接使用，必須做一些改進。針對IPv6的Socket套接口函數已經在RFC3493：Basic Socket Interface Extensions for IPv6中定義，以前的應用程序都必須參考新的API做相應的改動。

IPv4中防火墻過濾的依據是IP地址和TCP/UDP端口號。IPv4中IP頭部和TCP頭部是緊接在一起的，而且其長度是固定的，所以防火墻很容易找到頭部，并應用相應的策略。然而在IPv6中TCP/UDP報頭的位置有了根本的變化，它們不再是緊連在一起的，通常中間還間隔有其他的擴展頭部，如路由選項頭部，AH/ESP頭部等。防火墻必須讀懂整個數據包才能進行過濾操作，這對防火墻的處理性能會有很大的影響。

入侵檢測系統（IDS）的設計

在IPv6安全問題下也使我們不得不放棄以往的網絡監控技術，投身一個全新的研究領域。首先，IDS產品同防火墻一樣，在IPv6下不能直接運行，還要做相應的修改。其次，IDS的工作原理實際上是一個監聽器，接收網段上的所有數據包，并對其進行分析，從而發現攻擊，并實施相應的報警措施。但是，如果使用傳輸模式進行端到端的加密，IDS就無法工作，因為它接收的是加密的數據包，無法理解。當然，解決方案之一是讓IDS能對這些數據包進行解密，但這樣勢必會帶來新的安全問題。同時IPv6的可靠性是否如最初所設想的那樣，也有待時間的考驗。

由于IPv6中引入了網絡層的加密技術，未來網絡上的數據通訊的保密性將會越來越強，這使網絡入侵檢測系統和主機入侵檢測引擎也面臨在多種不同平臺如何部署的問題。這就需要研究IDS新的部署方式，再下一步，研究如何才能在任何網絡狀況、任何服務器、任何客戶端、任何應用環境都能進行適當的自轉換和自適應。