IPv4和IPv6協議之間的一些糾葛我們總是常常想到。這個也就是來源于一些方面的。首先在地址方面，這個應該是更偏向于IPv6的使用，應用方面，IPv4則是更占有優勢。那么在于安全問題呢？似乎這個更是一個敏感的話題了。

◆哪些地址選擇問題與IPv6協議相關，它們是如何威脅網絡安全的？

IPv6主機使用默認地址選擇規則，因為每臺計算機的網絡接口上都有很多不同的IPv6地址。這些規則管理所使用的地址。如果這些默認的地址選擇規則被修改了，那么將導致無法預測的后果。這可能是攻擊者創建中間人條件或者DoS主機的方式。因此，確保這些地址選擇規則與默認規則一致是很重要的。

◆由于IPv6并不向后兼容現有的產品，那么我們必須升級或者實現哪些產品和保護機制來維護IPv6網絡的安全？這與IPv4網絡有何不同？

你必須確保你使用的安全保護機制是兼容IPv6的。你必須使用防火墻來對IPv6包實施相同的政策，正如你目前配置IPv4一樣。同時，防火墻必須能夠智能地處理不同的IPv6頭。同時，你必須有IPS探測器來檢測IPv4包或者 IPv6包上的攻擊。因此，你可能需要根據你目前供應商的IPv6功能升級軟件或硬件。

在安全性方面，IPv4和IPv6協議之間并沒有任何真正的不同。因此，完全相同的工具可以也應該用來保護IPv4和IPv6協議。這其中包括防火墻、入侵防御系統（IPSs）、檢測異常行為的行為分析、網絡勘測以及所有應用安全性產品，如反垃圾郵件和反病毒，它們可以檢查網絡上的郵件和Web流量。

強烈推薦你使用相同的設備或者相同的服務器來同時運行IPv4和IPv6協議保護，以便簡化管理、減少操作花費，并確保安全性策略對于IPv4和IPv6協議是相同的。

◆IPv6協議是否可能修改為向后兼容IPv4？

這是不可能的。IPv6是完全獨立于IPv4的協議。它們可以同時在同一網絡鏈路上運行，但是它們是以“夜航（ships in the night）”方式工作的，并且彼此之間是互相排斥的。在同一網絡上運行IPv6 和 IPv4類似于許多年以前我們在同一網絡上同時運行IPX 和AppleTalk。它們兩者是共存的，但是它們并不是互操作的協議。

IPv6是無法修改來向后兼容IPv4的。但是IETF已經提議了幾個遷移機制來協助將IPv4只遷移到雙重堆棧并且最后遷移到只使用IPv6的網絡（后者還需要很長時間）。在2011年的期限之前，IETF會一直致力于研究其它的遷移機制。目標是，IPv4地址耗盡并遷移到IPv6操作完全對現在和將來的用戶透明。

◆哪些工具和產品可以使用來監控和識別IPv6協議網絡的弱點？

你可以使用與IPv4主機一樣的IPv6漏洞掃描器。唯一的不同點在于在IPv6網絡上執行PING掃描是很不實際的，因為地址空間相當的大。然而，當你查找一個主機的IPv6地址時，執行一個有IPv6或者IPv4主機的端口掃描是相當容易的。大多數流行的IPv4工具也同樣具備IPv6的功能。

你可以使用目前你用來監控IPv4網絡的同一套工具來監控你的IPv6網絡。它們很可能需要更新為最近的版本以便支持IPv6。這些工具包括入侵防御系統(IPS)和網絡自動勘測，如NetFlow。

◆這些工具也處理安全性問題嗎？如果沒有，哪些產品可以幫助你處理安全性問題？

典型地，這些工具只能分析出你遇到了問題，它們并不自動幫助你修復問題。修復都是需要系統或者網絡管理員通過一個手動過程完成。

現有安全工具的升級版本完全可以消除所有IPv6協議攻擊。重新使用相同的工具對于IPv4和IPv6協議都相同的操作會有附加的好處，它們都有財務上的好處（更少的培訓）和安全上的好處，因為操作者已經知道如何使用這些工具。