美國行政管理和預算局的最新備忘錄要求，2025年前實現(xiàn)至少80%的純IPv6網(wǎng)絡升級，無法升級的基礎(chǔ)設(shè)施將逐年淘汰。

　　部署IPv6過程中，最大的威脅就是專業(yè)操作知識的缺乏。IPv6作為新協(xié)議，很多實施過程中的Bug還未被發(fā)現(xiàn)和修復，且很少有人具備安全運行IPv6網(wǎng)絡所需的專業(yè)安全知識。

　　為實現(xiàn)IPv6安全，美國聯(lián)邦政府備忘錄要求確保將生產(chǎn)環(huán)境全面支持IPv6納入IT安全計劃、架構(gòu)和采購中。

　　在雙棧網(wǎng)絡中，除了要考慮IPv4和IPv6共存時兩者之間交互及轉(zhuǎn)換的安全因素外，還需要考慮兩者的安全實現(xiàn)。

　　一、美國政府全面轉(zhuǎn)向IPv6協(xié)議

　　2020年11月19日，美國行政管理和預算局簽發(fā)了關(guān)于全面過渡到IPv6協(xié)議的備忘錄（M-21-07），旨在推進聯(lián)邦機構(gòu)的IPv6全面升級。該備忘錄從基礎(chǔ)設(shè)施、采購要求、USGv6計劃、網(wǎng)絡安全等角度介紹了聯(lián)邦政府對IPv6業(yè)務部署和使用的指導，其戰(zhàn)略意圖是讓聯(lián)邦政府使用純IPv6（IPv6-only）提供信息服務、運營網(wǎng)絡和訪問其他服務。該備忘錄特別指出，同時支持IPv4和IPv6的雙棧方案由于運維過于復雜，長遠來看是不必要的路徑。

　　選擇純IPv6部署能夠降低復雜性和運營成本，現(xiàn)在看來已日趨明朗化。該備忘錄為美國聯(lián)邦政府網(wǎng)絡的純IPv6升級設(shè)置了行動計劃和時間表，備忘錄要求2023年前實現(xiàn)至少20%的純IPv6網(wǎng)絡升級，2024年前實現(xiàn)至少50%的純IPv6網(wǎng)絡升級，2025年前實現(xiàn)至少80%的純IPv6網(wǎng)絡升級，無法升級的基礎(chǔ)設(shè)施將逐年淘汰。

　　本文將闡述美國聯(lián)邦政府轉(zhuǎn)向IPv6的歷史背景、過渡的具體要求以及未來的規(guī)劃目標，以及聯(lián)邦政府對IPv6的安全要求，介紹了IPv6部署實施時可能遇到的安全問題。

　　1、歷史背景

　　IP地址是全球唯一的數(shù)字標識符，用于區(qū)分在互聯(lián)網(wǎng)上進行通信的各個實體。隨著連接到互聯(lián)網(wǎng)上的用戶、設(shè)備和虛擬實體數(shù)量的不斷增加，全球?qū)P地址的需求成倍增長，導致世界上所有地區(qū)的IPv4地址消耗殆盡。隨著時間的推移，人們開發(fā)了許多技術(shù)和經(jīng)濟上的權(quán)宜之計，試圖延長IPv4的使用壽命，但所有這些措施都增加了網(wǎng)絡基礎(chǔ)設(shè)施的成本和復雜性，并為創(chuàng)新帶來了巨大的技術(shù)和經(jīng)濟阻礙。

　　IPv6是下一代互聯(lián)網(wǎng)協(xié)議，旨在取代自1983年以來一直使用的IPv4。人們普遍認為，全面過渡到IPv6是確保互聯(lián)網(wǎng)技術(shù)和服務未來增長和創(chuàng)新的唯一可行選擇。美國聯(lián)邦政府將擴大和加強向IPv6過渡的戰(zhàn)略承諾，以適應行業(yè)趨勢。

　　從2005年開始，聯(lián)邦政府的IPv6計劃為IPv6技術(shù)的商業(yè)開發(fā)推廣起到了重要的催化作用。2005年8月，美國行政管理和預算局發(fā)布了M-05-22《互聯(lián)網(wǎng)協(xié)議版本6（IPv6）過渡規(guī)劃》，要求各機構(gòu)在2008年6月30日前在其骨干網(wǎng)上啟用IPv6，該政策概述了部署和采購要求。2010年9月，行政管理和預算局發(fā)布了題為“向IPv6過渡”的備忘錄，要求聯(lián)邦機構(gòu)為公共互聯(lián)網(wǎng)服務器和與公共服務器通信的內(nèi)部應用程序?qū)嶋H部署“原生IPv6”（指在系統(tǒng)或服務中直接支持IPv6，而無需通過IPv4進行基本通信）。具體而言，2010年備忘錄要求各機構(gòu)在2012財政年度結(jié)束前，將面向公眾/外部的服務器和服務（如網(wǎng)絡、電子郵件、DNS、ISP服務）升級為實際使用原生IPv6；并在2014財政年度結(jié)束前，將與公共互聯(lián)網(wǎng)服務器通信的內(nèi)部客戶端應用程序和企業(yè)支撐性網(wǎng)絡升級為實際使用原生IPv6。

　　在過去的5年里，IPv6在產(chǎn)業(yè)界的發(fā)展勢頭急劇上升。目前，出于降低成本、降低復雜性、提高安全性和消除網(wǎng)絡信息系統(tǒng)創(chuàng)新障礙的考慮，在許多商業(yè)領(lǐng)域（例如大型網(wǎng)絡運營商、軟件供應商、服務提供商、企業(yè)、國家政府和外國政府）已經(jīng)部署了大量IPv6基礎(chǔ)設(shè)施。

　　許多組織已經(jīng)或正計劃遷移到“純IPv6”基礎(chǔ)架構(gòu)（NIST USGv6 Profile定義了產(chǎn)品在純IPv6環(huán)境中運行的技術(shù)要求），以減少維持兩種不同網(wǎng)絡體系帶來的運營問題。對于公共互聯(lián)網(wǎng)服務來說，前端基礎(chǔ)設(shè)施可能需要保留IPv4接口和過渡機制很長時間，但這并不排斥后端基礎(chǔ)設(shè)施在純IPv6環(huán)境下運行。

　　2、具體要求

　?。?）準備純IPv6基礎(chǔ)設(shè)施

　　美國行政管理和預算局曾發(fā)布政策，討論了各機構(gòu)在可預見的未來運行雙棧（IPv4和IPv6）的前景；然而近年來，這種方法顯得過于復雜、難以維持、并且沒有必要。因此，標準機構(gòu)和領(lǐng)先的技術(shù)公司開始向純IPv6部署的方向遷移，以消除運行兩種網(wǎng)絡協(xié)議帶來的復雜性、運營成本和威脅向量。

　　許多聯(lián)邦機構(gòu)已在面向公眾的系統(tǒng)上部署IPv6，其訪問量已經(jīng)與IPv4相當，甚至超過了IPv4。隨著信息技術(shù)不斷向移動平臺、物聯(lián)網(wǎng)（IOT）和無線網(wǎng)絡發(fā)展，IPv6的增長將持續(xù)加速。

　?。?）遵循聯(lián)邦I(lǐng)Pv6采購要求

　　2009年12月，聯(lián)邦采購條例委員會發(fā)布了聯(lián)邦采購條例的最終修訂規(guī)則，以確保未來的網(wǎng)絡信息技術(shù)采購包含IPv6需求。該修訂案的關(guān)鍵內(nèi)容是：“除非機構(gòu)的首席信息官放棄這一要求，否則在采購使用IP協(xié)議的信息技術(shù)時，需求文檔必須包含參考USGv6 Profile（NIST特別出版物500-267）中定義的相應技術(shù)能力，以及USGv6測試計劃中定義的相應一致性聲明。”

　　這種戰(zhàn)略性的采購方法能夠?qū)崿F(xiàn)自然的技術(shù)更新周期，以升級已安裝的聯(lián)網(wǎng)IT產(chǎn)品和服務底層，使其能夠“支持IPv6”（IPv6-capable，指系統(tǒng)或服務已經(jīng)正確地實現(xiàn)了一套完整的IPv6功能）。NIST USGv6 Profile描述了不同產(chǎn)品類型的IPv6功能詳細技術(shù)要求。這樣做可以確保聯(lián)邦I(lǐng)T系統(tǒng)能夠發(fā)揮IPv6的技術(shù)和經(jīng)濟效益，并使聯(lián)邦首席信息官能夠在適當?shù)臅r候最終遷移到純IPv6環(huán)境。根據(jù)現(xiàn)有的聯(lián)邦采購條例委員會要求，各機構(gòu)應：

　　在購買網(wǎng)絡信息技術(shù)和服務時，繼續(xù)使用USGv6 Profile來確定機構(gòu)或采購對IPv6能力的具體要求。展望未來，應明確要求硬件和軟件能夠運行在純IPv6環(huán)境中；

　　持續(xù)督促潛在的供應商通過USGv6測試計劃來證明其符合IPv6的需求描述；

　　在極少數(shù)情況下，如果要求證明IPv6能力會對采購行動造成不必要的負擔，則允許機構(gòu)的首席信息官針對某些個案放棄這一要求。在這種情況下，采購機構(gòu)應要求供應商提供文件，詳細說明其產(chǎn)品納入IPv6能力的明確計劃（如時間表）。

　?。?）推進USGv6計劃

　　為了繼續(xù)保護聯(lián)邦在IPv6技術(shù)上的投資，并確保采購中IPv6功能的高質(zhì)量和完整性，NIST將繼續(xù)更新和擴大USGv6計劃。NIST將繼續(xù)定期更新USGv6 Profile，以納入最新的互聯(lián)網(wǎng)工程任務組（IETF）規(guī)范相關(guān)的IPv6技術(shù)。特別強調(diào)的是，應確保納入IPv6安全技術(shù)以及那些支持其他聯(lián)邦計劃所需的網(wǎng)絡功能，如物聯(lián)網(wǎng)、采用基于云共享的服務、先進的無線通信以及軟件定義和虛擬化網(wǎng)絡。

　　USGv6測試計劃將繼續(xù)為商業(yè)產(chǎn)品提供政府范圍內(nèi)的一致性和一般互操作性測試。該計劃將繼續(xù)由經(jīng)認可的外部測試實驗室實施，并繼續(xù)與現(xiàn)有的行業(yè)主導的測試計劃進行最大程度的協(xié)調(diào)，以盡量減少供應商的負擔。為避免對通用檢測要求的不必要重復，各機構(gòu)應：

　　利用USGv6測試計劃對商業(yè)產(chǎn)品進行基本的一致性和一般互操作性測試；

　　確保機構(gòu)或采購的特定測試側(cè)重于USGv6測試計劃中未涉及的特定系統(tǒng)集成、性能和信息保障測試。

　?。?）不同政府機構(gòu)的責任

　　以下機構(gòu)牽頭在整個政府范圍內(nèi)支持向IPv6過渡的工作。

　　商務部：

　　繼續(xù)加強和維護USGv6 Profile和測試計劃；

　　與國土安全部合作，為整個聯(lián)邦信息技術(shù)基礎(chǔ)設(shè)施采用IPv6制定增強性安全指南。

　　國土安全部：

　　與商務部合作，為整個聯(lián)邦信息技術(shù)基礎(chǔ)設(shè)施采用IPv6制定增強安全指南和操作指引。

　　加強相關(guān)的安全彈性程序和服務（如可信互聯(lián)網(wǎng)連接、持續(xù)診斷和處置、愛因斯坦計劃），以全面支持IPv6在所有聯(lián)邦信息技術(shù)系統(tǒng)中投入生產(chǎn)使用；

　　加強測量及報告聯(lián)邦信息系統(tǒng)內(nèi)IPv6和IPv4部署程度和使用水平的能力。

　　總務管理局：

　　確保相關(guān)的總務管理局程序和服務全面支持IPv6，并在功能和性能上與現(xiàn)有的IPv4服務持平。

　　確保政府范圍內(nèi)涉及IP協(xié)議的采購合同模板包含IPv6需求；

　　與各機構(gòu)和企業(yè)基礎(chǔ)設(shè)施解決方案（EIS）供應商合作，確保所有EIS網(wǎng)絡服務在部署時按照機構(gòu)IPv6實施計劃和EIS任務單的規(guī)定啟用IPv6。

　　聯(lián)邦首席信息官委員會以及聯(lián)邦首席采購官委員會：

　　協(xié)助行政管理和預算局和各機構(gòu)，在必要時為IPv6的實施提供指導。

　　提供一個機構(gòu)間論壇來分享經(jīng)驗和最佳實踐，并在適當時機與外部合作伙伴協(xié)同努力，協(xié)助向IPv6的過渡；

　　酌情與工業(yè)界接觸，學習經(jīng)驗教訓和最佳實踐，確保產(chǎn)品和服務滿足聯(lián)邦政府的需求。

　　3、規(guī)劃目標

　　簡單、現(xiàn)代和可擴展的網(wǎng)絡基礎(chǔ)設(shè)施可帶來技術(shù)、經(jīng)濟和安全效益。這是私營部門向純IPv6演進的動力。為了跟上并利用這種網(wǎng)絡技術(shù)的演變，各機構(gòu)應：

　　（1）在本政策發(fā)布后45天內(nèi)，指定一個全機構(gòu)范圍的IPv6綜合項目組（包括采購、政策和技術(shù)成員）或其他治理結(jié)構(gòu)，以有效地管理和執(zhí)行IPv6工作。

　?。?）在本備忘錄發(fā)布后的180天內(nèi)，發(fā)布并在機構(gòu)的公開訪問網(wǎng)站上提供全機構(gòu)范圍的IPv6政策，要求在2023財政年度（FY）之前，所有新聯(lián)網(wǎng)的聯(lián)邦信息系統(tǒng)在部署時都必須啟用IPv6（IPv6-enabled），并闡明本機構(gòu)將在所有系統(tǒng)中逐步停止使用IPv4。

　　（3）尋求IPv6試點機會，在2021財年結(jié)束前至少完成一個純IPv6業(yè)務系統(tǒng)的試點，并根據(jù)要求向行政管理和預算局報告試點結(jié)果。

　　（4）在2021財政年度結(jié)束前制定IPv6實施計劃，該計劃必須確保IPv6實施計劃與其他相關(guān)部門的現(xiàn)代化舉措相協(xié)調(diào)，并要求機構(gòu)提供的所有共享服務都能提供全面的IPv6支持（包括在純IPv6模式下運行的能力），并在功能和性能上與現(xiàn)有的IPv4服務持平。此外，酌情更新信息資源管理IRM戰(zhàn)略計劃，以升級所有聯(lián)網(wǎng)的聯(lián)邦信息系統(tǒng)（以及與這些系統(tǒng)相關(guān)的IP資產(chǎn)），使其能夠完全實現(xiàn)原生IPv6運行。該計劃應說明機構(gòu)的過渡過程，并包括以下里程碑和行動：

　　到2023財政年度末，聯(lián)邦網(wǎng)絡上至少20%啟用IP協(xié)議的資產(chǎn)在純IPv6環(huán)境中運行。

　　到2024財政年度末，聯(lián)邦網(wǎng)絡上至少50%啟用IP協(xié)議的資產(chǎn)在純IPv6環(huán)境中運行。

　　到2025財政年度末，聯(lián)邦網(wǎng)絡上至少80%啟用IP協(xié)議的資產(chǎn)在純IPv6的環(huán)境中運行。

　　查明不能切換到IPv6的聯(lián)邦信息系統(tǒng)并說明理由，提供更換或停用這些系統(tǒng)的時間表。

　　自2010年以來，行政管理和預算局指南要求各機構(gòu)在一些系統(tǒng)中采購并部署IPv6功能。我們建議各機構(gòu)在制定計劃時，參考從試點活動和以往生產(chǎn)部署中獲得的實際經(jīng)驗。各機構(gòu)的計劃會隨著時間的推移而變化，因此，重要的是確定哪些系統(tǒng)已經(jīng)具備運行IPv6的條件，并制定和實施計劃，首先在這些系統(tǒng)中啟用IPv6，然后評估將這些系統(tǒng)遷移到純IPv6環(huán)境的潛力。

　?。?）與外部伙伴合作，確定與聯(lián)邦信息系統(tǒng)聯(lián)網(wǎng)的系統(tǒng)，并制定計劃將所有這些網(wǎng)絡接口遷移到使用IPv6。

　?。?）完成面向公共/外部的服務器和服務（如Web、電子郵件、DNS和ISP服務）以及與公共互聯(lián)網(wǎng)通信的內(nèi)部客戶端應用程序和企業(yè)支撐網(wǎng)絡的升級，以使用原生IPv6。

　　二、IPv6的安全問題與特點

　　1、  IPv6的安全問題

　　RFC4942討論了在部署IPv6時，以及使用相關(guān)過渡機制運行雙棧網(wǎng)絡時，需要考慮哪些安全問題。

　　概括起來，主要安全問題包括三種：由于IPv6協(xié)議引起的問題、由于過渡機制引起的問題，以及由于IPv6部署引起的問題。

　?。?）IPv6協(xié)議引起的問題包括：

　　協(xié)議本身的問題：路由頭、移動IPv6、站點范圍的多播地址、ICMPv6、任播流量、地址隱私擴展與DDoS防御、動態(tài)DNS、擴展頭、分片、鏈路本地地址和鄰居發(fā)現(xiàn)、安全路由通告、多路由器負載分擔等；

　　使用嵌入IPv4地址的IPv6地址繞過防護問題；

　　端到端透明性問題（無NAT）；

　　將IPv6隱藏于IPv6隧道帶來的繞過安全檢查問題。

　?。?）過渡機制引起的問題包括：6to4隧道機制、自動隧道和中繼、IPv6隧道可能會破壞IPv4網(wǎng)絡等。

　　（3）IPv6部署引起的問題包括：缺乏安全保護的IPv6試運行、DNS拒絕服務、尋址和安全路由、多播地址、ICMPv6、IPSec的傳輸模式、設(shè)備缺少相關(guān)功能、鄰居發(fā)現(xiàn)代理等。

　　2、IPv6安全問題的特點

　　IPv6與IPv4并沒有太大的區(qū)別：它是無連接的網(wǎng)絡協(xié)議，使用與IPv4相同的下層服務并向上層提供相同的服務。因此，除了下文所列舉的例外，IPv6和IPv4的安全問題和處置技術(shù)基本上大同小異。

　　（1）IPv6并不比IPv4更安全

　　因為IPv6是新的協(xié)議，有些人就認為IPv6天生就比IPv4更安全。這種觀點大錯特錯。事實上，作為一個新的協(xié)議，很多實施過程中的bug還沒有被發(fā)現(xiàn)和修復，而且很少有人具備安全運行IPv6網(wǎng)絡所需的專業(yè)安全知識。在部署IPv6的過程中，最大的威脅就是專業(yè)操作知識的缺乏：因此我們需要不斷強調(diào)培訓的重要性。

　　關(guān)于IPv6的一個安全神話是：由于其巨大的地址空間，無法通過枚舉/64子網(wǎng)中所有的IPv6地址來進行網(wǎng)絡掃描，因此懷有惡意的人無法定位攻擊目標。但是，[RFC5157]描述了可用來尋找網(wǎng)絡上潛在目標的替代技術(shù)，例如，枚舉區(qū)域內(nèi)所有的DNS名稱。[HOST-SCANNING]中也給出了有關(guān)這方面的其他做法。

　　另一個安全神話是：由于IPv6強制要求所有地方使用IPsec，因此它更安全。雖然最初的IPv6規(guī)范可能暗示了這一點，但[RFC6434]明確指出：并不強制性要求支持IPsec。此外，如果企業(yè)內(nèi)部的所有流量都被加密，那么不僅是惡意軟件，那些依靠檢測有效載荷的安全工具（入侵防御系統(tǒng)（IPS）、防火墻、訪問控制列表（ACL）、IP流信息導出（IPFIX）（[RFC7011]和[RFC7012]）等）都會受到影響。因此，IPv6中的IPsec與在IPv4中一樣有用（例如，用于在非可信網(wǎng)絡上建立VPN通道，或為某些特定應用預留）。

　　最后一個安全神話是：因為不再有廣播，因此在IPv6中不存在放大攻擊（如[SMURF]）。這種說法也是不準確的，因為路由器和主機在轉(zhuǎn)發(fā)或接收組播消息時，會產(chǎn)生ICMP錯誤（在某些情況下）或信息消息（見[RFC4443]的2.4節(jié)）。因此，必須像IPv4一樣限制ICMPv6報文的生成和轉(zhuǎn)發(fā)速率。

　　需要注意的是，在雙棧網(wǎng)絡中，除了要考慮IPv4和IPv6共存時兩者之間交互及轉(zhuǎn)換的安全因素外，還需要考慮兩者的安全實現(xiàn)。

　?。?）IPv6和IPv4安全的相似之處

　　如前所述，IPv6與IPv4十分相似，因此，有幾種攻擊同時適用于這兩個協(xié)議族，包括：

　　應用層攻擊：如跨站腳本或SQL注入。

　　流氓設(shè)備：如流氓Wi-Fi接入點。

　　泛洪和所有基于流量的拒絕服務：包括對IPv6流量使用控制平面策略（見[RFC6192]）。

　　舉例來說，IPv6的唯一本地地址（ULA）[RFC4193]和IPv4的私有地址 [RFC1918]類似，它們并不能像“魔法”一樣提供安全性。使用這兩種地址時，邊緣路由器必須采用嚴格的過濾器來阻止這些私有地址進入網(wǎng)絡，同時也要阻止它們離開網(wǎng)絡。這種過濾可以由企業(yè)來完成，也可以由ISP來完成，但謹慎的管理員會傾向于在自己的企業(yè)中完成。

　?。?）IPv6的特定安全問題

　　即使IPv6與IPv4類似，也存在一些差異會使IPv6產(chǎn)生特有的漏洞或問題。在本節(jié)中，我們將舉例說明這些差異。

　　隱私擴展地址使安全人員或網(wǎng)絡運營商想要追溯到其網(wǎng)絡中的主機日志記錄時，很難跟蹤審計線索。隱私擴展地址[RFC4941]通常用于保護個人隱私，通過定期改變IPv6地址中的接口標識符部分，以避免由于64位擴展唯一標識符EUI-64（基于媒體訪問控制MAC地址）保持不變而導致主機被追蹤。雖然在互聯(lián)網(wǎng)上這是算得上是優(yōu)點，但它也使安全人員或網(wǎng)絡運營商想要追溯到其網(wǎng)絡中的主機日志記錄時，很難跟蹤審計線索（即使前綴部分保持不變）：因為當跟蹤完成時，搜索到的IPv6地址可能已經(jīng)從網(wǎng)絡中消失了。因此，使用隱私擴展地址通常需要對IPv6地址與MAC地址的綁定進行額外的監(jiān)控和記錄（也可參見[IPv6-SECURITY]第2.5節(jié)中的監(jiān)控部分）。為提供地址問責制，早期一些企業(yè)化部署采用了從交換機和路由器設(shè)備收集IP/MAC地址映射的方法。盡管可能需要收集比同樣規(guī)模的IPv4網(wǎng)絡更多的地址數(shù)據(jù)，但這種方法也被證明卓有成效。另一種方法是通過強制使用DHCPv6來防止隱私擴展地址，這樣主機只能獲得DHCPv6服務器分配的地址。這可以通過配置路由器（在RA中設(shè)置M位，搭配包含所有通告的前綴且不設(shè)置A位）來實現(xiàn)（防止使用無狀態(tài)自動配置）。當然，這種技術(shù)要求所有主機都支持有狀態(tài)的DHCPv6。需要注意的是，并不是所有的操作系統(tǒng)在處理帶有M位集合的RA時都表現(xiàn)出相同的行為。由于鄰居發(fā)現(xiàn)協(xié)議（NDP）中缺乏相關(guān)對A、M和O位的規(guī)范性定義，因此不同的操作系統(tǒng)行為各異。[DHCPv6-SLAAC-PROBLEM]對M位和DHCPv6的交互作用進行了更詳細的分析。

　　擴展頭使ACL等無狀態(tài)數(shù)據(jù)包過濾器的任務復雜化。如果使用ACL來執(zhí)行安全策略，那么企業(yè)必須驗證其ACL（也包括有狀態(tài)的防火墻）是否能夠處理擴展頭（這意味著為了找到上層的有效負載，需要完全理解協(xié)議并解析擴展頭），并阻止不需要的擴展頭（例如，實現(xiàn)[RFC5095]）。這個話題在[RFC7045]中有深入討論。

　　分片可能導致包過大“消不能過濾，并用來逃避某些安全機制。分片在IPv6中有所不同，因為它只由源主機完成，而不發(fā)生在轉(zhuǎn)發(fā)操作期間。這意味著必須允許ICMPv6的”包過大“消息通過網(wǎng)絡，而不能過濾[RFC4890]。分片也可以用來逃避一些安全機制，如RA-Guard[RFC6105]。另見[RFC5722]和[RFC7113]。

　　IPv6引入的NDP同樣缺乏安全性。 IPv4和IPv6之間最大的區(qū)別之一是后者引入了NDP[RFC4861]，包括各種重要的IPv6協(xié)議功能，包括IPv4中由地址解析協(xié)議（ARP）[RFC0826]提供的功能。NDP在ICMPv6上運行（如上所述，這意味著安全策略必須允許某些ICMPv6報文通過，如RFC 4890所述），但與ARP等一樣缺乏安全性，因為缺乏內(nèi)置的報文驗證。雖然已經(jīng)定義了安全鄰居發(fā)現(xiàn)（SEND）[RFC3971]和加密生成地址（CGA）[RFC3972]，但它們并沒有被廣泛實現(xiàn)。NDP套件中RA的威脅模型與DHCPv4（和DHCPv6）的威脅模型類似，因此惡意主機可以是惡意路由器或惡意DHCP服務器。在邊緣交換機中借助DHCPv4 snooping技術(shù)可以使IPv4網(wǎng)絡更加安全，同樣RA snooping也可以提高IPv6網(wǎng)絡的安全性（在純IPv4網(wǎng)絡中亦是如此）。因此，對IPv4使用此類技術(shù)的企業(yè)應該對IPv6使用等效的技術(shù)，包括RA-Guard[RFC6105]和源地址驗證改進（SAVI）工作組的所有正在進行的工作（例如[RFC6959]），帶來的保護效果類似于IPv4中的動態(tài)ARP監(jiān)控。其他拒絕服務漏洞與NDP緩存耗盡有關(guān)，處置技術(shù)可以在（[RFC6583]）中找到。

　　如前所述，運行雙棧網(wǎng)絡會使攻擊風險加倍，因為惡意者現(xiàn)在有兩個攻擊載體：IPv4和IPv6。這意味著，所有在雙棧環(huán)境中運行的路由器和主機，如果啟用了兩個協(xié)議族（即使是默認設(shè)定），則必須為兩個協(xié)議版本制定一致的安全策略。例如：所有Web服務器開放TCP 80和443端口，并拒絕其他端口的連接，這一點必須在IPv4和IPv6中同時實現(xiàn)。因此，管理員使用的工具需要支持這種操作。

　　三、部署IPv6的安全策略

　　顯然，IPv6網(wǎng)絡應該以安全的方式部署。關(guān)于IPv6安全部署，除了聯(lián)邦指南之外，還有詳細的行業(yè)指南和最佳實踐文檔。關(guān)于如何保障IPv6安全的知識庫已經(jīng)非常成熟，但人們往往忽略了IPv6可以更有效地實現(xiàn)整體安全。例如，那些使用IPv6尋址（這與網(wǎng)絡安全架構(gòu)密切相關(guān)）的組織發(fā)現(xiàn)，他們的安全配置復雜度顯著降低。

　　RFC7381討論了IPv6部署時應采取的安全策略。業(yè)界在IPv4的網(wǎng)絡安全方面已經(jīng)頗有心得，網(wǎng)絡運營商在部署IPv6時，應該充分利用這些知識和經(jīng)驗。

　　為了幫助聯(lián)邦政府獲得這些安全效益，各機構(gòu)應：

　　確保將生產(chǎn)環(huán)境全面支持IPv6納入IT安全計劃、架構(gòu)和采購中。

　　確保所有支撐網(wǎng)絡運行或企業(yè)安全服務的系統(tǒng)（如身份和訪問管理系統(tǒng)、防火墻和入侵檢測/保護系統(tǒng)、終端安全系統(tǒng)、安全事件管理系統(tǒng)、訪問控制和政策執(zhí)行系統(tǒng)、威脅情報和聲譽系統(tǒng)）都支持IPv6，并能在純IPv6環(huán)境中運行。

　　酌情遵循相應的聯(lián)邦指南，并充分利用行業(yè)最佳實踐，確保IPv6網(wǎng)絡的安全部署和運行。

　　確保所有安全和隱私政策評估、授權(quán)和監(jiān)測程序能夠充分解決聯(lián)邦信息系統(tǒng)中IPv6的生產(chǎn)使用問題。