近幾年出口的軟硬件產(chǎn)品都已經(jīng)內(nèi)置了IPv6支持，特別是大量的移動(dòng)終端幾乎都已經(jīng)支持IPv6，然而一向被認(rèn)為安全性較高的IPv6并不像傳說(shuō)中的那樣，甚至相反會(huì)嚴(yán)重挑戰(zhàn)現(xiàn)有的安全保護(hù)體系。

　　下一代互聯(lián)網(wǎng)協(xié)議IPv6逐漸被商用企業(yè)采納，管理機(jī)構(gòu)和運(yùn)營(yíng)商也開(kāi)始規(guī)劃和測(cè)試工作，盡管遷移的路子仍然比較漫長(zhǎng)，但它也日益成為IT基礎(chǔ)架構(gòu)人員的談資。

　　近幾年出口的軟硬件產(chǎn)品都已經(jīng)內(nèi)置了IPv6支持，特別是大量的移動(dòng)終端幾乎都已經(jīng)支持IPv6，然而一向被認(rèn)為安全性較高的IPv6并不像傳說(shuō)中的那樣，甚至相反會(huì)嚴(yán)重挑戰(zhàn)現(xiàn)有的安全保護(hù)體系。

　　首先，IPv6的通道功能會(huì)影響現(xiàn)有的網(wǎng)絡(luò)訪問(wèn)控制，IPv4防火墻在針對(duì)IPv6流量的細(xì)力度控制上幾乎無(wú)力，基于協(xié)議和端口的動(dòng)態(tài)包過(guò)濾對(duì)于能夠靈活變化的通道也幾近失效，不當(dāng)配置的企業(yè)網(wǎng)絡(luò)邊界控管措施在IPv6面前形同虛設(shè)。</p>

　　其次，IPv6的加密通道及自動(dòng)配置功能讓端到端的通訊更為便捷也更為危險(xiǎn)，還令傳統(tǒng)的基于特征檢測(cè)與分析的入侵檢測(cè)、內(nèi)容過(guò)濾及監(jiān)控審計(jì)系統(tǒng)失效。

　　最后，基于IPv6的攻擊已經(jīng)開(kāi)始現(xiàn)身，分布式拒絕服務(wù)攻擊、網(wǎng)絡(luò)穿透攻擊、IPv6加密蠕蟲(chóng)等等開(kāi)始零星出現(xiàn)于安全媒體，但卻沒(méi)有引起安全界的重視。

　　應(yīng)對(duì)這些挑戰(zhàn)并非難事，首先，覺(jué)醒起來(lái)是最好的安全防線，加強(qiáng)IT及最終用戶關(guān)于IPv6的安全意識(shí)教育應(yīng)該被納入到安全管理的議事日程；接著，制定和設(shè)置嚴(yán)格的訪問(wèn)控制策略，必要時(shí)實(shí)施白名單政策；最后，加強(qiáng)安全監(jiān)管，特別是針對(duì)加密安全通訊的監(jiān)管，阻斷不必要的加密通訊宜早不宜晚。

   投稿郵箱：chuanbeiol@163.com   詳情請(qǐng)?jiān)L問(wèn)川北在線：http://fishbao.com.cn/