總有人誤認(rèn)為“網(wǎng)絡(luò)改成IPv6，安全問題就全面解決了”。誠然，IPv4中常見的一些攻擊方式將在IPv6網(wǎng)絡(luò)中失效，例如網(wǎng)絡(luò)偵察、報(bào)頭攻擊、碎片攻擊、假冒地址及蠕蟲病毒等，但I(xiàn)Pv6不僅不可能徹底解決所有安全問題，反而還會(huì)產(chǎn)生新的安全問題。

雖然與IPv4相比，IPv6在網(wǎng)絡(luò)保密性、完整性方面做了更好的改進(jìn)，在可控性和抗否認(rèn)性方面有了新的保證，但目前多數(shù)網(wǎng)絡(luò)攻擊和威脅來自應(yīng)用層而非網(wǎng)絡(luò)層。因此，保護(hù)網(wǎng)絡(luò)安全與信息安全，只靠一兩項(xiàng)技術(shù)并不能實(shí)現(xiàn)，還需配合多種手段，諸如認(rèn)證體系、加密體系、密鑰分發(fā)體系、可信計(jì)算體系等。

安全新問題如影隨形

IPv6是新的協(xié)議，在其發(fā)展過程中必定會(huì)產(chǎn)生一些新的安全問題，主要包括:

◆ 針對(duì)IPv6的網(wǎng)管設(shè)備和網(wǎng)管軟件都不太成熟。

IPv6的管理可借鑒IPv4。但對(duì)于一些網(wǎng)管技術(shù)，如SNMP(簡單網(wǎng)絡(luò)管理)等，不管是移植還是重建，其安全性都必須從本質(zhì)上有所提高。由于目前針對(duì)IPv6的網(wǎng)管都不太成熟，因此缺乏對(duì)IPv6網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和管理的手段，對(duì)大范圍的網(wǎng)絡(luò)故障定位和性能分析的能力還有待提高。

◆ IPv6中同樣需要防火墻、VPN、IDS(入侵檢測(cè)系統(tǒng))、漏洞掃描、網(wǎng)絡(luò)過濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備。

事實(shí)上，IPv6環(huán)境下的病毒已經(jīng)出現(xiàn)。例如，有研究人員在IPv6中發(fā)現(xiàn)了一處安全漏洞,可能導(dǎo)致用戶遭受拒絕服務(wù)攻擊。據(jù)悉,該漏洞存在于IPv6的type 0路由頭(RH0)特征中。某些系統(tǒng)在處理IPv6 type 0路由頭時(shí)存在拒絕服務(wù)漏洞。

◆ 仍需在實(shí)踐中完善。

IPv6組播功能僅僅規(guī)定了簡單的認(rèn)證功能，所以還難以實(shí)現(xiàn)嚴(yán)格的用戶限制功能。移動(dòng)IPv6(Mobile IPv6)也存在很多新的安全挑戰(zhàn)，目前移動(dòng)IPv6可能遭受的攻擊主要包括拒絕服務(wù)攻擊、重放攻擊以及信息竊取攻擊。另外，( Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議)必須經(jīng)過升級(jí)才可以支持IPv6地址，DHCPv6仍然處于研究、制訂之中。

◆ 向IPv6遷移過程中可能出現(xiàn)漏洞。

目前安全人員已經(jīng)發(fā)現(xiàn)從IPv4向 IPv6轉(zhuǎn)移時(shí)出現(xiàn)的一些安全漏洞，例如黑客可以非法訪問采用了IPv4和IPv6兩種協(xié)議的LAN網(wǎng)絡(luò)資源，攻擊者可以通過安裝了雙棧的IPv6主機(jī)建立由IPv6到IPv4的隧道，從而繞過防火墻對(duì)IPv4進(jìn)行攻擊。