你可以在不部署任何IPsec加密運算法則的情況下實現(xiàn)IPv6一致性，而主要的分布式（或遠程端點驗證）問題仍然和以前一樣棘手。

    為了了解IPv6安全事項，我們不應(yīng)該迷信IPv6的安全神話，而應(yīng)該考慮更為困難的實踐性問題：較之IPv4，IPv6具有怎樣的安全優(yōu)勢？

    推薦閱讀：

    部署IPv6致使僵尸電腦產(chǎn)生更多垃圾郵件和病毒

    應(yīng)用IPv6需要考慮的五個安全問題

    IPv4和IPv6協(xié)議在結(jié)構(gòu)上具有相似性。IPv6其實就是在IPv4的基礎(chǔ)上增加了地址長度，修復(fù)并增加了更為復(fù)雜的標(biāo)頭，而一些額外的協(xié)議（地址解析協(xié)議ARP，已經(jīng)被ICMP Neighbor Discovery來替代。）

    專家談IPv6安全事項：是神話還是現(xiàn)實？

    我們即將在IPv6世界中使用的安全機制幾乎與我們在IPv4中所使用的一樣，包括：

    端點安全帶有嵌入操作系統(tǒng)的防火墻;

    單獨的防火墻執(zhí)行第四層數(shù)據(jù)包過濾或者深層數(shù)據(jù)包檢測;

    路由和交換機上的訪問列表（數(shù)據(jù)包過濾器）;

    內(nèi)部子網(wǎng)安全機制（DHCP竊聽）;

    IPv6不會讓網(wǎng)絡(luò)層發(fā)生任何改變。TCP和UDP沒有被改變，運行在IPv6上的協(xié)議也和IPv4上的無異。唯一的區(qū)別是網(wǎng)絡(luò)層和傳輸層之間銜接。

    IPv4在第三層標(biāo)頭中含有第四層協(xié)議標(biāo)記符（TCP=6，UDP=17;對于其他協(xié)議，需要檢查這個IANA協(xié)議端口對應(yīng)文件）。

    IPv6允許一系列的標(biāo)頭擴展，這就間接增加了第四層檢測的難度。過長的標(biāo)頭擴展甚至?xí)p少硬件中部署數(shù)據(jù)包過濾器設(shè)備的運行性能。

    以上的討論都是讓我們認清一個事實，即IPv4和IPv6安全之間的區(qū)別主要是部署獨立性，我們不妨對IPv6安全性的期待放低一些。

    IPv6協(xié)議堆積在未被完全測試過的端點托管和網(wǎng)絡(luò)設(shè)備內(nèi)用來替代IPv4。但愿漏洞不會被覆蓋（或許還會出現(xiàn)零日攻擊利用程序員已知的漏洞），這樣IPv6被普及的范圍更廣。

    網(wǎng)絡(luò)和安全工程師缺乏IPv6的暴露和操作性經(jīng)驗，因此其部署可能會出現(xiàn)一些阻礙和安全性問題。

    由于存在多種IPv6-over-IPv4隧道技術(shù)，對企業(yè)網(wǎng)絡(luò)的無意識連接會引發(fā)與IPv6相關(guān)的入侵和其他安全事故。我們可以通過多種方式從IPv4轉(zhuǎn)變?yōu)镮Pv6，而公共的隧道破壞者可以讓我們在幾分鐘內(nèi)就連接到IPv6。除非你的防火墻部署有嚴格的安全策略，否則某些大意的用戶就有可能創(chuàng)建IPv6-over-IPv4隧道并且暴露其工位，甚至是暴露整個子網(wǎng)。

    從網(wǎng)絡(luò)供應(yīng)商那里部署的IPv6部署和現(xiàn)在的IPv4完了相比，仍然缺乏足夠的安全性。與IPv4一樣，有很多有名的攻擊可供駭客破壞IPv6。

    欺騙路由器的廣告和引誘終端用戶進行檢測和修改。

    欺騙性的DHCPv6信息會衍生大量終端站的DNS服務(wù)器地址。

    思科已經(jīng)部署了路由器廣告防守特性來保護已更改網(wǎng)絡(luò)上的路由器廣告，一些供應(yīng)商會讓你部署安全的Neighbor Discovery（SEND），它添加了比IPsec簡單的密碼層組來保護ND機制。但是在這些工具中，沒有哪一個方法比我們在IPv4世界中所擁有的ARP檢測和DHCP竊取更簡單。

    只有當(dāng)設(shè)備供應(yīng)商填補了這些空白，并且在IPv4和IPv6安全性能之間提供真實對等性時，我們才能期望IPv6網(wǎng)絡(luò)更加安全。這并非是指IPv6不安全，而是它目前的部署還滯后于IPv4。