盡管IPv6已經(jīng)開始啟用，但網(wǎng)絡(luò)工程師仍然很謹慎，因為他們擔心IPv6的安全問題。下面是95000位網(wǎng)絡(luò)工程師投票選出的IPv6網(wǎng)絡(luò)安全中前6大安全風險。

　　● 缺乏IPv6安全培訓/教育。

　　現(xiàn)在最大的風險是缺乏IPv6安全知識。企業(yè)在部署IPv6之前，必須投入時間和金錢來進行IPv6安全培訓。否則，過后，企業(yè)將需要花費更多的時間和金錢來堵塞漏洞。在規(guī)劃階段考慮網(wǎng)絡(luò)安全更加有效，而不應該在部署后才考慮。根據(jù)GTRI首席技術(shù)官Scott Hogg表示，“所有安全從業(yè)人員現(xiàn)在都應該了解IPv6，因為所有的企業(yè)在其環(huán)境中都有啟用IPv6的操作系統(tǒng)。未能保護IPv6系統(tǒng)就像打開了很大的后門。”

　　● 通過未過濾的IPv6和通道流量繞過安全設(shè)備。

　　與安全產(chǎn)品本身相比，只有缺乏知識被認為是更大的風險。概念上，這很簡單，安全產(chǎn)品需要做兩件事情：識別可疑的IPv6數(shù)據(jù)包并部署控制。然而，在實際中，這在v4中計劃是不可能的，更不用說可能存在流氓流量或未知通道流量的環(huán)境。目前有16種不同的通道和過渡方法—更不用提上層通道，例如SSH、IPv4-IPSec、SSL/TLS甚至DNS。IPv6論壇網(wǎng)絡(luò)安全主題專家兼SRA InterNATional專家網(wǎng)絡(luò)架構(gòu)師Joe Klein表示：“第一步是知道你正在尋找什么。”目前我們使用的安全產(chǎn)品(特別是那些從IPv4轉(zhuǎn)換到IPv6的產(chǎn)品)并不一定足夠成熟來抵御威脅。

　　● 互聯(lián)網(wǎng)服務供應商和供應商缺乏對IPv6的支持。

　　為了確保IPv6安全功能和穩(wěn)定性與IPv4看齊，全面的測試是至關(guān)重要的。對所涉及的所有協(xié)議制定一個測試計劃，并部署一個測試網(wǎng)絡(luò)，必須測試所有設(shè)備，特別是來自供應商的新的安全技術(shù)。每個網(wǎng)絡(luò)都是獨特的，需要一個獨特的測試計劃。讓這個問題進一步復雜化的是，你的供應商沒有提供本地IPv6連接。連接到你的接口的通道進一步提高了安全的復雜性，并可能帶來中間人攻擊和拒絕服務攻擊。對此，你可以要求你的供應商提供本地IPv6。

　　● 安全政策。

　　糟糕的IPv6安全政策直接導致了目前大家對IPv6安全知識的不了解。IPv6安全政策的深度不僅需要與IPv4看齊，同時，其廣度必須更寬，來應對IPv4環(huán)境中不需要考慮的新的漏洞。

　　● 新代碼中的錯誤。

　　任何新代碼都會有錯誤。而在這種情況下，我們可能在還不完全支持IPv6的NICS、TCP/UDP和網(wǎng)絡(luò)軟件庫的代碼中發(fā)現(xiàn)錯誤。SIP、VoIP和虛擬化等技術(shù)也可能存在問題。在最壞的情況下，代碼中的錯誤可能在你的網(wǎng)絡(luò)中引入新的漏洞。同樣地，這里的解決辦法也是測試。測試網(wǎng)絡(luò)和全面的測試計劃能夠幫助發(fā)現(xiàn)錯誤，以及隔離它們，并可以找到解決辦法，或者關(guān)閉部署，直到修復問題。

　　● 沒有NAT。

　　大家對NAT普遍存在誤解，以至于NAT沒有出現(xiàn)在IPv6中被誤解為頭號安全風險。在IPv6環(huán)境中有NAT可能也不錯，但事實上，它們并不提供任何的額外的安全性。防火墻提供了安全性，而不是網(wǎng)絡(luò)地址轉(zhuǎn)譯。

　　IPv6安全不能只是IPv4安全的簡單克隆，這種想法是非常危險的。我們必須安排培訓、擴大政策，以及在網(wǎng)絡(luò)中部署新的技術(shù)來抵御新的威脅。從同質(zhì)IPv4網(wǎng)絡(luò)過度到異構(gòu)IPv4/v6網(wǎng)絡(luò)帶來了新的流量類型以及設(shè)備，企業(yè)必須重新考慮。

　　此外，由于IPv6相對較新，其市場才剛剛開始，IPv6安全產(chǎn)品也還不夠成熟。在圍繞IPv6的安全性完善之前，在運營商讓IPv6與IPv4看齊之前，這是一個有趣的危險的時期。