51CTO編者按：由于前幾天的IPv6日，最近又掀起了一股IPv6測試的浪潮，各個廠家以及企業都關注于IPv6的部署。由于現階段處在IPv4和IPv6的共存階段，對于網絡安全問題又提出了新的挑戰。這段時間各種黑客攻擊絡繹不絕，不少重要機構和跨國企業都遭到了一些網絡攻擊，全球黑客襲擊進入新一輪活躍期，那么在這個IPv6過渡的關鍵時刻，黑客會不會趁機進行一些攻擊行為呢？這個我們還不得而知，然而，在這場攻防戰之中，我們可以在部署IPv6的同時，做好安全防護，在這場戰役中，取得先機。

據監控互聯網協議版本6（IPv6）協議轉換的專家稱，企業過渡到IPv6對信息安全專家來講是一個需小心應付的局勢：IPv6配置錯誤，軟件漏洞和在安全設備中不可信的IPv6安全特征都可能讓聰明的攻擊者輕易進入敏感系統。

目前為止，IPv6普及的還比較緩慢，同時IPv6流量只占所有互聯網流量的10%左右，但是專家預言IPv6的使用率在接下來的幾年將保持一個穩定的增長，并且企業將需要網絡系統來支持它。這是因為隨著IPv4地址空間的用盡，轉換的緊迫性日益增加；專家預測一些網絡服務提供商將在9月就用完它們的IPv4地址。

然而，據一些人估計，這個過渡可能需要長達三年多的時間，專家稱現在正是各個組織開始計劃如何過渡到IPv6的時候。這個協議本身比IPv4更復雜，并且如果沒有經驗豐富的網絡專業人員知識的話，很多人相信企業將會置身于IPv6攻擊之中。

“這些協議棧很不成熟，當有新的東西出現時，就引起一些早期問題，你可能還會發現漏洞。”Silvia Hagen說，她是IPv6核心要件的創始人和瑞士Sunny Connection AG公司的首席執行官，在那里她作為高級顧問和分析師而工作。“將會有補丁和更新，但是企業需要避開圍繞這個話題的炒作。”

這種炒作在上周可能達到了一個歷史最高點。6月8日作為世界IPv6日，許多主要站點，網絡服務提供商和一些早期的企業使用者將會測試這個協議。這個活動由互聯網協會舉辦（這是一個促進互聯網相關標準，教育和政策的非盈利性組織）。世界IPv6日將不僅測試產品系統的IPv6兼容性問題，而且要弄清楚IPv4地址的減少量，它是引導IPv6過渡的主要驅動力。

Andy Champagne是Akamai Technologies公司的工程副總裁，這個公司是許多大型企業的網絡內容提供商，他說他不希望在6月8日的協議測試中出現任何中斷。相反，Champagne認為企業網絡專家應該利用這一天來教育他們自己并傳播這個即將到來的過渡。

“你可以推遲IPv6并在將來面對一個真正困難的過渡，或者你可以隨著諸如IPv6日等活動開始行動并通過這些行動而擁有一個良好簡單的過渡，” Champagne說道，“當涉及到安全時，我認為一個更加審慎的方法是：去嘗試著做這件事，而不是在絕對必要時才去做。”

Fernando Gont表示，對IPv6固有漏洞的研究非常少。Gont是一位已經為英國一些政府部門測試過IPv6配置的網絡工程師和安全顧問。Gont表示，研究論文的缺乏和鮮有來自早期采用者的最好實踐導致很多企業對這個過渡持觀望態度。他表示，隨著時間的推移，這個協議將會增加安全研究人員對其的興趣，同時額外的弱點也會出現。

“對于IPv4，我們已經擁有超過20年的運行和配置這個協議的經驗，而對于IPv6，我們才僅僅與這個協議打了幾年交道，” Gont說，“問題是當涉及到制作良好的默認配置時，供應商還沒有完成這個工作，并且所有安全問題還沒有被探究。”

網絡專家應該開始學習這個協議，而安全專家需要弄明白安全設備是否可以處理IPv6流量，Gont說道。支持IPv6的設備——防火墻，入侵防御系統和其他網絡安全設備——也面臨著一些審查并可能包含漏洞。另外，操作系統和其它軟件將會默認的支持IPv6，目前，Windows 7是支持IPv6的，這為網絡犯罪提供了另一個可能的攻擊向量，他說道。

最終，IPv6可以提高安全性，支持IPsec加密，并為主機之間的相互驗證提供一個終端到終端的方案。但在短期內，Gont表示，IPv6的引入很有可能會增加重大的網絡安全威脅，因為網絡設備需要支持網絡協議的兩個版本。一些設備需要被替換掉，而另一些將通過軟件更新來支持v6。當建立一個雙棧網絡時，組織需要制定單獨的安全政策并決定哪些應用程序和服務可以使用v6來訪問。

“相對于v4來講，我們在v6方面具有的經驗更少，而且很可能的是當v6被應用的時候，許多IPv6的安全問題被忽視。”Gont說，“在IPv6實施過程中，在它的成熟度同v4一樣之前，會有很多漏洞被發現。”

來自Akamai公司的Champagne表示，網絡社區目前對這個協議和如何適當的為它安排發展路線有更好的理解，但是如果出師不利，IPv6的復雜性可能會使一些企業的網絡很脆弱。比如說，在一些Linux風格中，IPv4防火墻和IPv6防火墻是完全不同的系統并且必須單獨地配置，Champagne說道。他說，在沒有以上認識的情況下啟用IPv6將會使得通過IPv6的傳輸是完全開放的。

“請確保你正在檢查你的特定系統的文件，以便弄清楚它們是如何處理IPv6流量的。”Champagne說，“你肯定不希望IPv6成為進入你企業的后門。”