你可以在不部署任何IPsec加密運(yùn)算法則的情況下實(shí)現(xiàn)IPv6一致性，而主要的分布式（或遠(yuǎn)程端點(diǎn)驗(yàn)證）問(wèn)題仍然和以前一樣棘手。

    為了了解IPv6安全事項(xiàng)，我們不應(yīng)該迷信IPv6的安全神話，而應(yīng)該考慮更為困難的實(shí)踐性問(wèn)題：較之IPv4，IPv6具有怎樣的安全優(yōu)勢(shì)？

    推薦閱讀：

    部署IPv6致使僵尸電腦產(chǎn)生更多垃圾郵件和病毒

    應(yīng)用IPv6需要考慮的五個(gè)安全問(wèn)題

    IPv4和IPv6協(xié)議在結(jié)構(gòu)上具有相似性。IPv6其實(shí)就是在IPv4的基礎(chǔ)上增加了地址長(zhǎng)度，修復(fù)并增加了更為復(fù)雜的標(biāo)頭，而一些額外的協(xié)議（地址解析協(xié)議ARP，已經(jīng)被ICMP Neighbor Discovery來(lái)替代。）

    專家談IPv6安全事項(xiàng)：是神話還是現(xiàn)實(shí)？

    我們即將在IPv6世界中使用的安全機(jī)制幾乎與我們?cè)贗Pv4中所使用的一樣，包括：

    端點(diǎn)安全帶有嵌入操作系統(tǒng)的防火墻;

    單獨(dú)的防火墻執(zhí)行第四層數(shù)據(jù)包過(guò)濾或者深層數(shù)據(jù)包檢測(cè);

    路由和交換機(jī)上的訪問(wèn)列表（數(shù)據(jù)包過(guò)濾器）;

    內(nèi)部子網(wǎng)安全機(jī)制（DHCP竊聽(tīng)）;

    IPv6不會(huì)讓網(wǎng)絡(luò)層發(fā)生任何改變。TCP和UDP沒(méi)有被改變，運(yùn)行在IPv6上的協(xié)議也和IPv4上的無(wú)異。唯一的區(qū)別是網(wǎng)絡(luò)層和傳輸層之間銜接。

    IPv4在第三層標(biāo)頭中含有第四層協(xié)議標(biāo)記符（TCP=6，UDP=17;對(duì)于其他協(xié)議，需要檢查這個(gè)IANA協(xié)議端口對(duì)應(yīng)文件）。

    IPv6允許一系列的標(biāo)頭擴(kuò)展，這就間接增加了第四層檢測(cè)的難度。過(guò)長(zhǎng)的標(biāo)頭擴(kuò)展甚至?xí)p少硬件中部署數(shù)據(jù)包過(guò)濾器設(shè)備的運(yùn)行性能。

    以上的討論都是讓我們認(rèn)清一個(gè)事實(shí)，即IPv4和IPv6安全之間的區(qū)別主要是部署獨(dú)立性，我們不妨對(duì)IPv6安全性的期待放低一些。

    IPv6協(xié)議堆積在未被完全測(cè)試過(guò)的端點(diǎn)托管和網(wǎng)絡(luò)設(shè)備內(nèi)用來(lái)替代IPv4。但愿漏洞不會(huì)被覆蓋（或許還會(huì)出現(xiàn)零日攻擊利用程序員已知的漏洞），這樣IPv6被普及的范圍更廣。

    網(wǎng)絡(luò)和安全工程師缺乏IPv6的暴露和操作性經(jīng)驗(yàn)，因此其部署可能會(huì)出現(xiàn)一些阻礙和安全性問(wèn)題。

    由于存在多種IPv6-over-IPv4隧道技術(shù)，對(duì)企業(yè)網(wǎng)絡(luò)的無(wú)意識(shí)連接會(huì)引發(fā)與IPv6相關(guān)的入侵和其他安全事故。我們可以通過(guò)多種方式從IPv4轉(zhuǎn)變?yōu)镮Pv6，而公共的隧道破壞者可以讓我們?cè)趲追昼妰?nèi)就連接到IPv6。除非你的防火墻部署有嚴(yán)格的安全策略，否則某些大意的用戶就有可能創(chuàng)建IPv6-over-IPv4隧道并且暴露其工位，甚至是暴露整個(gè)子網(wǎng)。

    從網(wǎng)絡(luò)供應(yīng)商那里部署的IPv6部署和現(xiàn)在的IPv4完了相比，仍然缺乏足夠的安全性。與IPv4一樣，有很多有名的攻擊可供駭客破壞IPv6。

    欺騙路由器的廣告和引誘終端用戶進(jìn)行檢測(cè)和修改。

    欺騙性的DHCPv6信息會(huì)衍生大量終端站的DNS服務(wù)器地址。

    思科已經(jīng)部署了路由器廣告防守特性來(lái)保護(hù)已更改網(wǎng)絡(luò)上的路由器廣告，一些供應(yīng)商會(huì)讓你部署安全的Neighbor Discovery（SEND），它添加了比IPsec簡(jiǎn)單的密碼層組來(lái)保護(hù)ND機(jī)制。但是在這些工具中，沒(méi)有哪一個(gè)方法比我們?cè)贗Pv4世界中所擁有的ARP檢測(cè)和DHCP竊取更簡(jiǎn)單。

    只有當(dāng)設(shè)備供應(yīng)商填補(bǔ)了這些空白，并且在IPv4和IPv6安全性能之間提供真實(shí)對(duì)等性時(shí)，我們才能期望IPv6網(wǎng)絡(luò)更加安全。這并非是指IPv6不安全，而是它目前的部署還滯后于IPv4。