IPv6不是解决网络安全问题的万能药

　　由于仅剩下10%的IPv4预留地址，所以迁移到IPv6是指日可待了，只不过大多数人都还没有明白这一新协议的真实含义。相当一部分人只是简单将其看做IP安全的救世主，而对于它的缺陷却不闻不问。

　　虽然IPv6提供了诸如加密等改进功能，但是它的设计目的并不是要更改IP层的安全状况。传统观念想当然地认为只要加密了的东西就是安全的，可是考虑到加密技术的发展和复杂性，这种观念在如今的互联网社会已经不适用了。例如，在最近一次Black Hat会议上，黑客Moxie Marlinspike揭秘了SSL加密技术的缺陷，他利用这些缺陷实现了无效终端认证对数据的拦截。

　　遗憾的是，IPsec，作为IPv6的加密标准，被视为加密的万能药。这里应提醒大家注意：

　　IPv6中强制要求对的IPsec支持;而是否使用则具有可选性。

　　受到规模，互操作性和传输等问题的限制，当前IPv4空间中极度缺乏IPsec流量。这一问题会遗留到IPv6空间里，而IPsec的采用将会很少。

　　IPsec支持多加密法则的特性极大地增强了部署的复杂性，而这一事实常常被忽略。

　　许多企业认为如果不部署IPv6，就可以避免其漏洞带来的安全隐患。这种观点也是普遍存在的误解。IPv6流量在网络中的几率越来越多。大多数新的操作系统都会默认启用IPv6。

　　以IPv4为基础的安全设备和网络监控工具既不能检测也不能阻止IPv6数据。通过代理将IPv6数据链接到IPv4网络是一项很重要的性能。但是，这一性能也让黑客有机会把IPv6链路放在不理解IPv6的网络上，然后再随意携带恶意代码。由此，我们不得不问，为什么有如此多的用户通过未知的，不受信任的IPv6代理来传输数据?

　　不要用IPv6通道来输送敏感信息，即便是一些医疗保健或是政府部门的相关链接，也要尽量避免。在客户端启用通道特性后，就会将我们的网络暴露给开放的，未验证，未加密，未注册的远程IPv6网关。用户尝试该性能并由此遭遇恶意网关的几率令人担忧。

　　IPv6的高级网络发现功能可以网管们选择输送数据包的路径。理论上，这一功能是一大改进，但是，从安全角度考虑的话却成了隐患。如果本地IPv6网络受到损坏，黑客利用这一功能就可以不费吹灰之力地追踪远程网络。

　　那么要多久供应商们才能够帮助我们解决这些安全问题呢?答案是，很快。和大多数行业一样，供应商们还处在技术跟进中。由于现在没有任何机构强制要求转移到IPv6，所以这些供应商是按照业内的发展速度在进行互操作性的开发。

　　由此便产生了一个问题：IPv6的延迟部署会给黑客们可乘之机吗?肯定会! 随着我们逐步转移到IPv6，应用与设备中互操作性的缺失会暴露出漏洞。这将带来混乱的补丁发布和更新周期，而应用程序对攻击的防御也会变得很被动。

　　不论我们掌握了多少与IPv4相关的专业知识，都应该用极高的警惕性来对待IPv6部署。IPv6不仅仅是扩充IP地址库而已。对于技术人员的培训要从头开始，这项工作可不是如同为Windows应用打上补丁一样容易。许多基础网络准则，如路由，DNS，QoS，多点播放和IP选址等，都需要重新了解。在IPv6中，由于互联网不断适应新的IP结构，我们对垃圾邮件控制和DOS保护等安全功能的依赖程度将大为减轻。

　　实际上，我们的网络安全情况在向IPv6的过渡中应该是最先要考虑的因素。企业主在把IPv6当成安全法宝之前要考虑到所有可能的安全挑战。