IPv6带来的安全问题挑战及应对之策

近几年出口的软硬件产品都已经内置了IPv6支持，特别是大量的移动终端几乎都已经支持IPv6，然而一向被认为安全性较高的IPv6并不像传说中的那样，甚至相反会严重挑战现有的安全保护体系。

下一代互联网协议IPv6逐渐被商用企业采纳，管理机构和运营商也开始规划和测试工作，尽管迁移的路子仍然比较漫长，但它也日益成为IT基础架构人员的谈资。

近几年出口的软硬件产品都已经内置了IPv6支持，特别是大量的移动终端几乎都已经支持IPv6，然而一向被认为安全性较高的IPv6并不像传说中的那样，甚至相反会严重挑战现有的安全保护体系。

首先，IPv6的通道功能会影响现有的网络访问控制，IPv4防火墙在针对IPv6流量的细力度控制上几乎无力，基于协议和端口的动态包过滤对于能够灵活变化的通道也几近失效，不当配置的企业网络边界控管措施在IPv6面前形同虚设。

其次，IPv6的加密通道及自动配置功能让端到端的通讯更为便捷也更为危险，还令传统的基于特征检测与分析的入侵检测、内容过滤及监控审计系统失效，

最后，基于IPv6的攻击已经开始现身，分布式拒绝服务攻击、网络穿透攻击、IPv6加密蠕虫等等开始零星出现于安全媒体，但却没有引起安全界的重视。

应对这些挑战并非难事，首先，觉醒起来是最好的安全防线，加强IT及最终用户关于IPv6的安全意识教育应该被纳入到安全管理的议事日程;接着，制定和设置严格的访问控制策略，必要时实施白名单政策;最后，加强安全监管，特别是针对加密安全通讯的监管，阻断不必要的加密通讯宜早不宜晚。