网络协议版本6(IPv6) 并不提高企业的Web安全性，但是，当从IPv4迁移过来时，对于IPv6网络安全性问题的了解有助于你防范公司网络中针对IPv6的潜在威胁。Scott Hogg和Eric Vyncke是《IPv6安全性：下一个网络协议的防护措施》一书的合著者，他们在这次的采访中将探讨IPv6安全性的含义。使用他们的建议来缓解围绕协议安全性的忧虑，并了解能够减少风险的网络安全性工具和产品特性。

　　IPv6能够提高企业的Web安全性吗？客户的安全性呢？

　　Scott Hogg: IPv6不会改变运行在传输层之上的任何应用。目前，在IPv4应用上存在的威胁在IPv6应用上也同样存在。例如，你的双重协议Web服务器很容易受跨站脚本攻击，那么当使用IPv6作为Layer 3协议时也仍然是会受到攻击的。引进IPv6对于双重堆栈的客户计算机也同样不受影响。然而，如果是一个企业或者一个客户使用的防火墙并不过滤IPv6包，那么他们基本上都是完全开放的。同时，计算机能够在用户不知情的情况下创建到IPv6 Internet的通道，同时，这些通道能够绕过目前所有只用于IPv4的安全保护。

　　Eric Vyncke: 下一代的Internet协议IPv6主要是为了引进一个更大型的地址空间，但是在Web安全性方面几乎没有任何提高。主要的原因是Web安全性是一个与应用安全性相关的（这些攻击包括SQL注入，跨网站脚本等等）；同时，应用安全性是在部署了新的IPv6后仍然与网络层完全独立的。

　　IPv6安全性与IPv4安全性相比较，是怎样的？

　　Hogg: 在LAN攻击（ARP、邻近发现、DHCP、DHCPv6）、分片攻击、拒绝服务攻击(DoS)等方面，IPv4 和 IPv6安全性之间有一些相似之处。由于IPv6的头结构和对ICMPv6的大量使用，使得IPv6有一些新的漏洞。在IPv6中过滤未分配的地址比在IPv4中要容易很多，因为IPv4地址空间是非常分散的。由于NAT并不与IPv6一起使用，所以IPSec更容易用AH和ESP实现，在这个方面IPv6有一些优势。IPv6 和 Mobile IPv6为安全移动通信提供了新的机遇和新的挑战。同时，IPv6的传输机制也同样是攻击的目标。

　　Vyncke:如果我们在局域网（LAN）或者Internet的网络层上比较IPv4和IPv6，那么它们几乎是一样的。

　　巨大数量的IPv6地址使网络扫描无法检查所有的地址（发现网络上所有计算机）；但是黑客可以很容易地通过使用DNS或者其它的信息资源来查找可能的目标。因此，这并不是一个安全的优势。

　　标准要求IPv6的计算机实现IPsec（使用加密技术进行保密和认证），但是，事实上IPv6计算机是可以自由选择使用或不使用IPsec的。此外，广泛地使用IPsec将使信息安全部门的工作更艰难，因为他们无法再使用防火墙（对于加密流量，防火墙是无效的）。

　　至于Layer 2安全性（Ethernet），我们都知道在IPv4中围绕ARP的问题很多，其中它可以恶意地重定向流量。IPv6也存在非常类似的问题，只是名称有所改变：NDP（Neighbor Discovery Protocol)中毒，而不是ARP中毒。这里可以使用相同的减缓技术。此外，SEcure Neighbor Discovery (SEND)甚至通过加密来保护NDP，唯一需要说明的是它仍然未在Microsoft Windows 或者 Mac OS/X上实现。

　　总的来说，IPv4 和 IPv6对于安全性是几乎相同的。唯一的问题是大多数网络和安全架构师和员工都不知道IPv6，并且他们目前缺乏这个新协议的操作技能。这几个月是相当危险的，只有所有的人都接受了培训和具备了经验才可以有效规避风险。

　　Internet Protocol版本6存在安全漏洞吗？如果有，那么该如何修订IPv6来提高网络安全性呢？

　　Hogg: IPv6的报头（扩展/选项头）在处理方式上会有一些漏洞。同时，Neighbor Discovery Protocol (NDP)也存在漏洞。实际上没有任何方式可以修订IPv6 协议本身，但是你可以选择性地过滤网络允许的消息。消息可以在网络的边缘和内部进行过滤以便帮助防范这些类型的攻击。

　　Vyncke:由于IPv6只是IPv4的一个很小的升级，因此，协议本身并没有任何不同，也没有重大的漏洞。当然，大多数供应商的实现中会存在一些漏洞，但是现在他们几乎都可以自己处理。

　　IETF（Internet的标准主体）已经标准化了两个小的IPv6升级：

　　Secure Neighbor Discovery，依靠加密技术来保护IPv6地址到Ethernet MAC地址映射的动态信息。

　　去除臭名昭著的Routing Header Type 0，它会导致某些拒绝服务攻击(DoS)。

　　如果联邦政府已经移植到IPv6（由于它已经确定的2008年期限），那么将对企业发生什么影响呢？

　　Hogg: U.S.政府已经做了迁移到IPv6的前期工程，但是完全迁移还需要一段时间。很多联邦组织只是简单地开启IPv6功能来满足2008年6月的截止日期要求，然后又马上关闭IPv6连接来避免攻击。他们并没有完全部署IPv6和拥有完全的DNS双重协议记录或者任何应用内容。衷心希望，这本书将为这些组织演示他们该如何以合理的安全级别部署IPv6来减少风险。他们不需要惧怕IPv6和任何“未知的”漏洞存在。他们可以很自信地使用这本书上所描述的技术来部署最初的双重堆栈功能。

　　Vyncke:只要企业与联邦政府之间没有任何关系，那么他们就不会担忧截止时间。

　　同时运行IPv4 和 IPv6会引发特别的安全问题吗？

　　Hogg:是的——由于你运行两个协议，因此，你的组织同时受到这两个协议问题的攻击。同时还存在一些利用一个协议攻击对另一个协议的问题。因此，我们往往都建议你的组织尽量不要使用双重协议。现在的目标并不是获得双重堆栈而是只要IPv6。

　　Vyncke：运行双重堆栈环境并不总是会造成安全问题，但是，用户必须注意的是计算机目前是同时暴露于IPv4 和 IPv6的攻击。这并不表示计算机会受到两倍于之前的攻击，而是用户必须在个人防火墙和其它安全产品（如Microsoft Windows）的帮助下同时保护计算机的IPv4 和 IPv6。