雖然IPv6是一個具有安全功能的協議，但從IPv4向IPv6過渡會產生新的風險，并且會削弱機構的安全策略。了解潛在的危害以及如何在不損害公司安全的情況下實現過渡是非常重要的。

如果你還沒有考慮IPv6對你的網絡安全的影響，那么現在是時候開始考慮了!

你可能知道推動IPv6協議應用的主要因素是什么，我們的IPv4地址即將耗盡!目前IPv4協議使用的32位地址方案只能容納43億個獨特的地址。雖然這個數量聽起來很多，但是就地球人來說，每個人還不能擁有一個IP地址。并且有些人還不止需要一個IP地址，如工作地點和家庭之間的IP地址、以及其它網絡設備等。IPv6協議使用128位尋址技術解決了這個問題。IPv6協議允許的IP地址數量是3.4x10的38次方;這樣大的數量我們要很長時間才能用完。

那么，IPv6協議的出現對我們的安全意味著什么呢?讓我們看一下對我們的網絡有影響的五個問題:

1.安全人員需要有關IPv6協議的教育和培訓。IPv6協議將在你的控制之下進入你的網絡，這只是個時間問題。同許多新的網絡技術一樣，學習IPv6的基礎知識是非常重要的，特別是學習尋址方案和協議，以便適應事件的處理和相關的活動。

2.安全工具需要升級。IPv6不向下兼容。用于整個網絡的通信路由和安全分析的硬件和軟件都要進行升級，以支持IPv6協議，否則這些硬件和軟件都不支持IPv6。當使用邊界保護設備的時候，記住這一點是非常重要的。為了兼容IPv6，路由器、防火墻和入侵檢測系統都需要軟件或者硬件升級。

3.現有的設備需要額外設置。支持IPv6的設備把它當成一個完全獨立的協議。因此，訪問控制列表、規則庫和其它設置參數要重新進行評估，并且要轉換為支持IPv6的環境。

4.隧道協議產生新的風險。網絡和安全團體已經耗費了很多時間和精力確保IPv6是一個具有安全功能的協議。然而，這種轉換的最大的風險之一是使用隧道協議支持向IPv6的轉換。這些協議允許在IPv4數據流通過非兼容設備時把IPv6的通信隔離開。因此，在你準備好正式支持IPv6之前，你的網絡用戶可以使用這些隧道協議運行IPv6。如果這是一個令人擔心的問題，在你的邊界內封鎖IPv6隧道協議。

5.IPv6自動設置可造成尋址的復雜性。IPv6另一個有趣的功能是自動設置。自動設置功能允許系統自動獲得一個網絡地址，而不需要管理員的干預。IPv6支持兩種不同的自動設置技術。監控狀態的自動設置使用DHCPv6，這是對目前的DHCP協議的簡單升級，從安全的角度看并沒有很大的不同。另外，關注一下非監控狀態的自動設置功能。這個技術允許系統產生自己的IP地址，并且檢查地址的重復性。從系統管理的角度說，這種非集中化的方式可能更容易一些，但是，對于跟蹤網絡資源使用(或者濫用!)情況的網絡管理員來說，這種做法提出了很大的難題。

正如你所說，IPv6是革命性的。IPv6允許我們為未來十年的無處不在的接入做好準備。但是，同其它的技術創新一樣，我們需要從安全的角度認真關注IPv6。

原文鏈接：http://network.51cto.com/art/201101/242920.htm