隨著互聯網的更新，我們迎來了IPv6網絡協議的使用，在我們不斷贊揚IPv6網絡協議的諸多優點后，我們也同樣對它的一些漏洞和問題產生了擔心。計算機網絡協議版本6(IPv6) 并不提高企業的Web安全性，但是，當從IPv4遷移過來時，對于IPv6網絡安全性問題的了解有助于你防范公司網絡中針對IPv6的潛在威脅。Scott Hogg和Eric Vyncke是《IPv6安全性：下一個計算機網絡協議的防護措施》一書的合著者，他們在這次的采訪中將探討IPv6安全性的含義。使用他們的建議來緩解圍繞協議安全性的憂慮，并了解能夠減少風險的網絡安全性工具和產品特性。

◆IPv6網絡協議能夠提高企業的Web安全性嗎？客戶的安全性呢？

IPv6不會改變運行在傳輸層之上的任何應用。目前，在IPv4應用上存在的威脅在IPv6應用上也同樣存在。例如，你的雙重協議Web服務器很容易受跨站腳本攻擊，那么當使用IPv6作為Layer 3協議時也仍然是會受到攻擊的。引進IPv6對于雙重堆棧的客戶計算機也同樣不受影響。然而，如果是一個企業或者一個客戶使用的防火墻并不過濾IPv6包，那么他們基本上都是完全開放的。同時，計算機能夠在用戶不知情的情況下創建到IPv6 Internet的通道，同時，這些通道能夠繞過目前所有只用于IPv4的安全保護。

下一代的Internet協議IPv6主要是為了引進一個更大型的地址空間，但是在Web安全性方面幾乎沒有任何提高。主要的原因是Web安全性是一個與應用安全性相關的（這些攻擊包括SQL注入，跨網站腳本等等）；同時，應用安全性是在部署了新的IPv6后仍然與網絡層完全獨立的。

◆IPv6網絡協議安全性與IPv4安全性相比較，是怎樣的？

在LAN攻擊（ARP、鄰近發現、DHCP、DHCPv6）、分片攻擊、拒絕服務攻擊(DoS)等方面，IPv4 和 IPv6安全性之間有一些相似之處。由于IPv6的頭結構和對ICMPv6的大量使用，使得IPv6網絡協議有一些新的漏洞。在IPv6中過濾未分配的地址比在IPv4中要容易很多，因為IPv4地址空間是非常分散的。由于NAT并不與IPv6一起使用，所以IPSec更容易用AH和ESP實現，在這個方面IPv6有一些優勢。IPv6 和 Mobile IPv6為安全移動通信提供了新的機遇和新的挑戰。同時，IPv6的傳輸機制也同樣是攻擊的目標。

如果我們在局域網（LAN）或者Internet的網絡層上比較IPv4和IPv6，那么它們幾乎是一樣的。

巨大數量的IPv6地址使網絡掃描無法檢查所有的地址（發現網絡上所有計算機）；但是黑客可以很容易地通過使用DNS或者其它的信息資源來查找可能的目標。因此，這并不是一個安全的優勢。

標準要求IPv6網絡協議的計算機實現IPsec（使用加密技術進行保密和認證），但是，事實上IPv6計算機是可以自由選擇使用或不使用IPsec的。此外，廣泛地使用IPsec將使信息安全部門的工作更艱難，因為他們無法再使用防火墻（對于加密流量，防火墻是無效的）。

至于Layer 2安全性（Ethernet），我們都知道在IPv4中圍繞ARP的問題很多，其中它可以惡意地重定向流量。IPv6也存在非常類似的問題，只是名稱有所改變：NDP（Neighbor Discovery Protocol)中毒，而不是ARP中毒。這里可以使用相同的減緩技術。此外，SEcure Neighbor Discovery (SEND)甚至通過加密來保護NDP，唯一需要說明的是它仍然未在Microsoft Windows 或者 Mac OS/X上實現。

總的來說，IPv4 和IPv6網絡協議對于安全性是幾乎相同的。唯一的問題是大多數網絡和安全架構師和員工都不知道IPv6，并且他們目前缺乏這個新協議的操作技能。這幾個月是相當危險的，只有所有的人都接受了培訓和具備了經驗才可以有效規避風險。