在我們興奮地使用IPv6網絡的時候，卻突然聽說IPv4和IPv6協議一樣存在著安全漏洞。這似乎讓我們的網絡推進陷入了尷尬的境地。那么到底是不是真的有安全問題呢？從下面我們來詳細的分析一下。

我們都知道在IPv4中圍繞ARP的問題很多，其中它可以惡意地重定向流量。IPv6也存在非常類似的問題，只是名稱有所改變：NDP（Neighbor Discovery Protocol)中毒，而不是ARP中毒。這里可以使用相同的減緩技術。此外，SEcure Neighbor Discovery (SEND)甚至通過加密來保護NDP，唯一需要說明的是它仍然未在Microsoft Windows 或者 Mac OS/X上實現。

總的來說，IPv4和IPv6協議對于安全性是幾乎相同的。唯一的問題是大多數網絡和安全架構師和員工都不知道IPv6，并且他們目前缺乏這個新協議的操作技能。這幾個月是相當危險的，只有所有的人都接受了培訓和具備了經驗才可以有效規避風險。

◆Internet Protocol版本6存在安全漏洞嗎？如果有，那么該如何修訂IPv6來提高網絡安全性呢？

IPv6的報頭（擴展/選項頭）在處理方式上會有一些漏洞。同時，Neighbor Discovery Protocol (NDP)也存在漏洞。實際上沒有任何方式可以修訂IPv6 協議本身，但是你可以選擇性地過濾網絡允許的消息。消息可以在網絡的邊緣和內部進行過濾以便幫助防范這些類型的攻擊。

由于IPv4和IPv6協議相比，只是一個很小的升級，因此，協議本身并沒有任何不同，也沒有重大的漏洞。當然，大多數供應商的實現中會存在一些漏洞，但是現在他們幾乎都可以自己處理。

IETF（Internet的標準主體）已經標準化了兩個小的IPv6升級：

Secure Neighbor Discovery，依靠加密技術來保護IPv6地址到Ethernet MAC地址映射的動態信息。

去除臭名昭著的Routing Header Type 0，它會導致某些拒絕服務攻擊(DoS)。

◆如果聯邦政府已經移植到IPv6（由于它已經確定的2008年期限），那么將對企業發生什么影響呢？

U.S.政府已經做了遷移到IPv6的前期工程，但是完全遷移還需要一段時間。很多聯邦組織只是簡單地開啟IPv6功能來滿足2008年6月的截止日期要求，然后又馬上關閉IPv6連接來避免攻擊。他們并沒有完全部署IPv6和擁有完全的DNS雙重協議記錄或者任何應用內容。衷心希望，這本書將為這些組織演示他們該如何以合理的安全級別部署IPv6來減少風險。他們不需要懼怕IPv6和任何“未知的”漏洞存在。他們可以很自信地使用這本書上所描述的技術來部署最初的雙重堆棧功能。

只要企業與聯邦政府之間沒有任何關系，那么他們就不會擔憂截止時間。

◆同時運行IPv4和IPv6會引發特別的安全問題嗎？

是的——由于你運行兩個協議，因此，你的組織同時受到這兩個協議問題的攻擊。同時還存在一些利用一個協議攻擊對另一個協議的問題。因此，我們往往都建議你的組織盡量不要使用雙重協議。現在的目標并不是獲得雙重堆棧而是只要IPv6。

運行雙重堆棧環境并不總是會造成安全問題，但是，用戶必須注意的是計算機目前是同時暴露于IPv4和IPv6協議的攻擊。這并不表示計算機會受到兩倍于之前的攻擊，而是用戶必須在個人防火墻和其它安全產品（如Microsoft Windows）的幫助下同時保護計算機的IPv4和IPv6協議。