IPv6的安全性到底怎麼樣

　　關於IPv6，我們比較了它與IPv4相比的差異和優勢。但是有一點使我們不曾觸及的，那便是其安全性。

　　IT專家必須記住IPv6可以追溯到上世紀九十年代，也就是許多現在的安全威脅演化或廣泛傳播之前。因此，IPv6有自己已知的和未知的安全漏洞需要解決。

　　在這篇文章中，我們提到了IPv6如何使用SLAAC而不是DHCP為端點提供IP地址。只有當你認識到許多管理員將DHCP snooping作為了解網絡設備的方式時，你才會明白這是個很棒的系統。帶有DHCP snooping的LAN交換機只允許訪問授權IP或是MAC地址。此外，該功能也可以讓管理員追蹤主機地址並阻止未授權的DHCP服務器被安裝到網絡中。

　　不過，使用IPv6的話，就沒有DHCP服務器可在給定IP地址及其相關MAC地址間查詢鏈接信息。相反，IPv6使用SEND來保護鄰居發送協議安全，通過若干策略的使用保護主機以及路由，其中包括加密生成的地址，有RSA密鑰保護的網絡發現信息以及信息時間戳。

　　思科安全系統單位副主席兼總經理Pat Calhoun透露了一個壞消息——很多目前領先的操作系統，包括微軟和蘋果公司的系統都不支持SEND技術。

　　不過有很多方法可以填補這一安全空白。通用的方法是在交換機 端口部署一個訪問控制列表(ACL)，大多數供應商都支持這一性能，因為該性能在IPv4下同樣可以使用，不過 IPv6中更為復雜的標頭使得ACL在IPv4下部署起來要復雜一些。有些供應商部署的是室內方案，如思科使用Router Advertisement Guard。但是，即便是安全補丁也可能存在漏洞。

　　另一個存在危險的區域是隧道技術。IPv4和IPv6協議之間的隧道技術雖然加強了兩個網絡的互操作性，但是如果它沒有受到監管就會是另一個安全隱患。在這一的隧道中，惡意鏈接可能對未經合理配置的IPv4系統中的IPv6數據流加以利用。

　　據Meyran透露，一些聯網硬件聲稱自己具備IPv6安全性，但難免言過其實。很多情況下，做好IPv6的准備意味著下載和安裝可能不遵循行業標准IPv6分支機構的特殊補丁，因此可能會刪除某些安全性能。

　　入侵防御裝置將深層數據包檢測放入以硬件為基礎的引擎中。只是因為這些設備聲稱自己支持IPv6並不意味著該裝置的深層數據包檢測引擎也為其提供支持。IPv4防火牆被用來卸下IPv6數據，因為新協議完全屬於外來物。這意味著缺乏IPv6安全配置的情況，別人可能在網絡上運行惡意的IPv6數據流。

　　通常，IPv6中已經包含了合適的安全工具，但是用戶需要學習如何配置和管理新協議才能將其優勢發揮到極致。