美國(guó)行政管理和預(yù)算局的最新備忘錄要求，2025年前實(shí)現(xiàn)至少80%的純IPv6網(wǎng)絡(luò)升級(jí)，無(wú)法升級(jí)的基礎(chǔ)設(shè)施將逐年淘汰。

　　部署IPv6過程中，最大的威脅就是專業(yè)操作知識(shí)的缺乏。IPv6作為新協(xié)議，很多實(shí)施過程中的Bug還未被發(fā)現(xiàn)和修復(fù)，且很少有人具備安全運(yùn)行IPv6網(wǎng)絡(luò)所需的專業(yè)安全知識(shí)。

　　為實(shí)現(xiàn)IPv6安全，美國(guó)聯(lián)邦政府備忘錄要求確保將生產(chǎn)環(huán)境全面支持IPv6納入IT安全計(jì)劃、架構(gòu)和采購(gòu)中。

　　在雙棧網(wǎng)絡(luò)中，除了要考慮IPv4和IPv6共存時(shí)兩者之間交互及轉(zhuǎn)換的安全因素外，還需要考慮兩者的安全實(shí)現(xiàn)。

　　一、美國(guó)政府全面轉(zhuǎn)向IPv6協(xié)議

　　2020年11月19日，美國(guó)行政管理和預(yù)算局簽發(fā)了關(guān)于全面過渡到IPv6協(xié)議的備忘錄（M-21-07），旨在推進(jìn)聯(lián)邦機(jī)構(gòu)的IPv6全面升級(jí)。該備忘錄從基礎(chǔ)設(shè)施、采購(gòu)要求、USGv6計(jì)劃、網(wǎng)絡(luò)安全等角度介紹了聯(lián)邦政府對(duì)IPv6業(yè)務(wù)部署和使用的指導(dǎo)，其戰(zhàn)略意圖是讓聯(lián)邦政府使用純IPv6（IPv6-only）提供信息服務(wù)、運(yùn)營(yíng)網(wǎng)絡(luò)和訪問其他服務(wù)。該備忘錄特別指出，同時(shí)支持IPv4和IPv6的雙棧方案由于運(yùn)維過于復(fù)雜，長(zhǎng)遠(yuǎn)來(lái)看是不必要的路徑。

　　選擇純IPv6部署能夠降低復(fù)雜性和運(yùn)營(yíng)成本，現(xiàn)在看來(lái)已日趨明朗化。該備忘錄為美國(guó)聯(lián)邦政府網(wǎng)絡(luò)的純IPv6升級(jí)設(shè)置了行動(dòng)計(jì)劃和時(shí)間表，備忘錄要求2023年前實(shí)現(xiàn)至少20%的純IPv6網(wǎng)絡(luò)升級(jí)，2024年前實(shí)現(xiàn)至少50%的純IPv6網(wǎng)絡(luò)升級(jí)，2025年前實(shí)現(xiàn)至少80%的純IPv6網(wǎng)絡(luò)升級(jí)，無(wú)法升級(jí)的基礎(chǔ)設(shè)施將逐年淘汰。

　　本文將闡述美國(guó)聯(lián)邦政府轉(zhuǎn)向IPv6的歷史背景、過渡的具體要求以及未來(lái)的規(guī)劃目標(biāo)，以及聯(lián)邦政府對(duì)IPv6的安全要求，介紹了IPv6部署實(shí)施時(shí)可能遇到的安全問題。

　　1、歷史背景

　　IP地址是全球唯一的數(shù)字標(biāo)識(shí)符，用于區(qū)分在互聯(lián)網(wǎng)上進(jìn)行通信的各個(gè)實(shí)體。隨著連接到互聯(lián)網(wǎng)上的用戶、設(shè)備和虛擬實(shí)體數(shù)量的不斷增加，全球?qū)P地址的需求成倍增長(zhǎng)，導(dǎo)致世界上所有地區(qū)的IPv4地址消耗殆盡。隨著時(shí)間的推移，人們開發(fā)了許多技術(shù)和經(jīng)濟(jì)上的權(quán)宜之計(jì)，試圖延長(zhǎng)IPv4的使用壽命，但所有這些措施都增加了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的成本和復(fù)雜性，并為創(chuàng)新帶來(lái)了巨大的技術(shù)和經(jīng)濟(jì)阻礙。

　　IPv6是下一代互聯(lián)網(wǎng)協(xié)議，旨在取代自1983年以來(lái)一直使用的IPv4。人們普遍認(rèn)為，全面過渡到IPv6是確保互聯(lián)網(wǎng)技術(shù)和服務(wù)未來(lái)增長(zhǎng)和創(chuàng)新的唯一可行選擇。美國(guó)聯(lián)邦政府將擴(kuò)大和加強(qiáng)向IPv6過渡的戰(zhàn)略承諾，以適應(yīng)行業(yè)趨勢(shì)。

　　從2005年開始，聯(lián)邦政府的IPv6計(jì)劃為IPv6技術(shù)的商業(yè)開發(fā)推廣起到了重要的催化作用。2005年8月，美國(guó)行政管理和預(yù)算局發(fā)布了M-05-22《互聯(lián)網(wǎng)協(xié)議版本6（IPv6）過渡規(guī)劃》，要求各機(jī)構(gòu)在2008年6月30日前在其骨干網(wǎng)上啟用IPv6，該政策概述了部署和采購(gòu)要求。2010年9月，行政管理和預(yù)算局發(fā)布了題為“向IPv6過渡”的備忘錄，要求聯(lián)邦機(jī)構(gòu)為公共互聯(lián)網(wǎng)服務(wù)器和與公共服務(wù)器通信的內(nèi)部應(yīng)用程序?qū)嶋H部署“原生IPv6”（指在系統(tǒng)或服務(wù)中直接支持IPv6，而無(wú)需通過IPv4進(jìn)行基本通信）。具體而言，2010年備忘錄要求各機(jī)構(gòu)在2012財(cái)政年度結(jié)束前，將面向公眾/外部的服務(wù)器和服務(wù)（如網(wǎng)絡(luò)、電子郵件、DNS、ISP服務(wù)）升級(jí)為實(shí)際使用原生IPv6；并在2014財(cái)政年度結(jié)束前，將與公共互聯(lián)網(wǎng)服務(wù)器通信的內(nèi)部客戶端應(yīng)用程序和企業(yè)支撐性網(wǎng)絡(luò)升級(jí)為實(shí)際使用原生IPv6。

　　在過去的5年里，IPv6在產(chǎn)業(yè)界的發(fā)展勢(shì)頭急劇上升。目前，出于降低成本、降低復(fù)雜性、提高安全性和消除網(wǎng)絡(luò)信息系統(tǒng)創(chuàng)新障礙的考慮，在許多商業(yè)領(lǐng)域（例如大型網(wǎng)絡(luò)運(yùn)營(yíng)商、軟件供應(yīng)商、服務(wù)提供商、企業(yè)、國(guó)家政府和外國(guó)政府）已經(jīng)部署了大量IPv6基礎(chǔ)設(shè)施。

　　許多組織已經(jīng)或正計(jì)劃遷移到“純IPv6”基礎(chǔ)架構(gòu)（NIST USGv6 Profile定義了產(chǎn)品在純IPv6環(huán)境中運(yùn)行的技術(shù)要求），以減少維持兩種不同網(wǎng)絡(luò)體系帶來(lái)的運(yùn)營(yíng)問題。對(duì)于公共互聯(lián)網(wǎng)服務(wù)來(lái)說(shuō)，前端基礎(chǔ)設(shè)施可能需要保留IPv4接口和過渡機(jī)制很長(zhǎng)時(shí)間，但這并不排斥后端基礎(chǔ)設(shè)施在純IPv6環(huán)境下運(yùn)行。

　　2、具體要求

　?。?）準(zhǔn)備純IPv6基礎(chǔ)設(shè)施

　　美國(guó)行政管理和預(yù)算局曾發(fā)布政策，討論了各機(jī)構(gòu)在可預(yù)見的未來(lái)運(yùn)行雙棧（IPv4和IPv6）的前景；然而近年來(lái)，這種方法顯得過于復(fù)雜、難以維持、并且沒有必要。因此，標(biāo)準(zhǔn)機(jī)構(gòu)和領(lǐng)先的技術(shù)公司開始向純IPv6部署的方向遷移，以消除運(yùn)行兩種網(wǎng)絡(luò)協(xié)議帶來(lái)的復(fù)雜性、運(yùn)營(yíng)成本和威脅向量。

　　許多聯(lián)邦機(jī)構(gòu)已在面向公眾的系統(tǒng)上部署IPv6，其訪問量已經(jīng)與IPv4相當(dāng)，甚至超過了IPv4。隨著信息技術(shù)不斷向移動(dòng)平臺(tái)、物聯(lián)網(wǎng)（IOT）和無(wú)線網(wǎng)絡(luò)發(fā)展，IPv6的增長(zhǎng)將持續(xù)加速。

　　（2）遵循聯(lián)邦I(lǐng)Pv6采購(gòu)要求

　　2009年12月，聯(lián)邦采購(gòu)條例委員會(huì)發(fā)布了聯(lián)邦采購(gòu)條例的最終修訂規(guī)則，以確保未來(lái)的網(wǎng)絡(luò)信息技術(shù)采購(gòu)包含IPv6需求。該修訂案的關(guān)鍵內(nèi)容是：“除非機(jī)構(gòu)的首席信息官放棄這一要求，否則在采購(gòu)使用IP協(xié)議的信息技術(shù)時(shí)，需求文檔必須包含參考USGv6 Profile（NIST特別出版物500-267）中定義的相應(yīng)技術(shù)能力，以及USGv6測(cè)試計(jì)劃中定義的相應(yīng)一致性聲明?！?/p>

　　這種戰(zhàn)略性的采購(gòu)方法能夠?qū)崿F(xiàn)自然的技術(shù)更新周期，以升級(jí)已安裝的聯(lián)網(wǎng)IT產(chǎn)品和服務(wù)底層，使其能夠“支持IPv6”（IPv6-capable，指系統(tǒng)或服務(wù)已經(jīng)正確地實(shí)現(xiàn)了一套完整的IPv6功能）。NIST USGv6 Profile描述了不同產(chǎn)品類型的IPv6功能詳細(xì)技術(shù)要求。這樣做可以確保聯(lián)邦I(lǐng)T系統(tǒng)能夠發(fā)揮IPv6的技術(shù)和經(jīng)濟(jì)效益，并使聯(lián)邦首席信息官能夠在適當(dāng)?shù)臅r(shí)候最終遷移到純IPv6環(huán)境。根據(jù)現(xiàn)有的聯(lián)邦采購(gòu)條例委員會(huì)要求，各機(jī)構(gòu)應(yīng)：

　　在購(gòu)買網(wǎng)絡(luò)信息技術(shù)和服務(wù)時(shí)，繼續(xù)使用USGv6 Profile來(lái)確定機(jī)構(gòu)或采購(gòu)對(duì)IPv6能力的具體要求。展望未來(lái)，應(yīng)明確要求硬件和軟件能夠運(yùn)行在純IPv6環(huán)境中；

　　持續(xù)督促潛在的供應(yīng)商通過USGv6測(cè)試計(jì)劃來(lái)證明其符合IPv6的需求描述；

　　在極少數(shù)情況下，如果要求證明IPv6能力會(huì)對(duì)采購(gòu)行動(dòng)造成不必要的負(fù)擔(dān)，則允許機(jī)構(gòu)的首席信息官針對(duì)某些個(gè)案放棄這一要求。在這種情況下，采購(gòu)機(jī)構(gòu)應(yīng)要求供應(yīng)商提供文件，詳細(xì)說(shuō)明其產(chǎn)品納入IPv6能力的明確計(jì)劃（如時(shí)間表）。

　?。?）推進(jìn)USGv6計(jì)劃

　　為了繼續(xù)保護(hù)聯(lián)邦在IPv6技術(shù)上的投資，并確保采購(gòu)中IPv6功能的高質(zhì)量和完整性，NIST將繼續(xù)更新和擴(kuò)大USGv6計(jì)劃。NIST將繼續(xù)定期更新USGv6 Profile，以納入最新的互聯(lián)網(wǎng)工程任務(wù)組（IETF）規(guī)范相關(guān)的IPv6技術(shù)。特別強(qiáng)調(diào)的是，應(yīng)確保納入IPv6安全技術(shù)以及那些支持其他聯(lián)邦計(jì)劃所需的網(wǎng)絡(luò)功能，如物聯(lián)網(wǎng)、采用基于云共享的服務(wù)、先進(jìn)的無(wú)線通信以及軟件定義和虛擬化網(wǎng)絡(luò)。

　　USGv6測(cè)試計(jì)劃將繼續(xù)為商業(yè)產(chǎn)品提供政府范圍內(nèi)的一致性和一般互操作性測(cè)試。該計(jì)劃將繼續(xù)由經(jīng)認(rèn)可的外部測(cè)試實(shí)驗(yàn)室實(shí)施，并繼續(xù)與現(xiàn)有的行業(yè)主導(dǎo)的測(cè)試計(jì)劃進(jìn)行最大程度的協(xié)調(diào)，以盡量減少供應(yīng)商的負(fù)擔(dān)。為避免對(duì)通用檢測(cè)要求的不必要重復(fù)，各機(jī)構(gòu)應(yīng)：

　　利用USGv6測(cè)試計(jì)劃對(duì)商業(yè)產(chǎn)品進(jìn)行基本的一致性和一般互操作性測(cè)試；

　　確保機(jī)構(gòu)或采購(gòu)的特定測(cè)試側(cè)重于USGv6測(cè)試計(jì)劃中未涉及的特定系統(tǒng)集成、性能和信息保障測(cè)試。

　?。?）不同政府機(jī)構(gòu)的責(zé)任

　　以下機(jī)構(gòu)牽頭在整個(gè)政府范圍內(nèi)支持向IPv6過渡的工作。

　　商務(wù)部：

　　繼續(xù)加強(qiáng)和維護(hù)USGv6 Profile和測(cè)試計(jì)劃；

　　與國(guó)土安全部合作，為整個(gè)聯(lián)邦信息技術(shù)基礎(chǔ)設(shè)施采用IPv6制定增強(qiáng)性安全指南。

　　國(guó)土安全部：

　　與商務(wù)部合作，為整個(gè)聯(lián)邦信息技術(shù)基礎(chǔ)設(shè)施采用IPv6制定增強(qiáng)安全指南和操作指引。

　　加強(qiáng)相關(guān)的安全彈性程序和服務(wù)（如可信互聯(lián)網(wǎng)連接、持續(xù)診斷和處置、愛因斯坦計(jì)劃），以全面支持IPv6在所有聯(lián)邦信息技術(shù)系統(tǒng)中投入生產(chǎn)使用；

　　加強(qiáng)測(cè)量及報(bào)告聯(lián)邦信息系統(tǒng)內(nèi)IPv6和IPv4部署程度和使用水平的能力。

　　總務(wù)管理局：

　　確保相關(guān)的總務(wù)管理局程序和服務(wù)全面支持IPv6，并在功能和性能上與現(xiàn)有的IPv4服務(wù)持平。

　　確保政府范圍內(nèi)涉及IP協(xié)議的采購(gòu)合同模板包含IPv6需求；

　　與各機(jī)構(gòu)和企業(yè)基礎(chǔ)設(shè)施解決方案（EIS）供應(yīng)商合作，確保所有EIS網(wǎng)絡(luò)服務(wù)在部署時(shí)按照機(jī)構(gòu)IPv6實(shí)施計(jì)劃和EIS任務(wù)單的規(guī)定啟用IPv6。

　　聯(lián)邦首席信息官委員會(huì)以及聯(lián)邦首席采購(gòu)官委員會(huì)：

　　協(xié)助行政管理和預(yù)算局和各機(jī)構(gòu)，在必要時(shí)為IPv6的實(shí)施提供指導(dǎo)。

　　提供一個(gè)機(jī)構(gòu)間論壇來(lái)分享經(jīng)驗(yàn)和最佳實(shí)踐，并在適當(dāng)時(shí)機(jī)與外部合作伙伴協(xié)同努力，協(xié)助向IPv6的過渡；

　　酌情與工業(yè)界接觸，學(xué)習(xí)經(jīng)驗(yàn)教訓(xùn)和最佳實(shí)踐，確保產(chǎn)品和服務(wù)滿足聯(lián)邦政府的需求。

　　3、規(guī)劃目標(biāo)

　　簡(jiǎn)單、現(xiàn)代和可擴(kuò)展的網(wǎng)絡(luò)基礎(chǔ)設(shè)施可帶來(lái)技術(shù)、經(jīng)濟(jì)和安全效益。這是私營(yíng)部門向純IPv6演進(jìn)的動(dòng)力。為了跟上并利用這種網(wǎng)絡(luò)技術(shù)的演變，各機(jī)構(gòu)應(yīng)：

　?。?）在本政策發(fā)布后45天內(nèi)，指定一個(gè)全機(jī)構(gòu)范圍的IPv6綜合項(xiàng)目組（包括采購(gòu)、政策和技術(shù)成員）或其他治理結(jié)構(gòu)，以有效地管理和執(zhí)行IPv6工作。

　　（2）在本備忘錄發(fā)布后的180天內(nèi)，發(fā)布并在機(jī)構(gòu)的公開訪問網(wǎng)站上提供全機(jī)構(gòu)范圍的IPv6政策，要求在2023財(cái)政年度（FY）之前，所有新聯(lián)網(wǎng)的聯(lián)邦信息系統(tǒng)在部署時(shí)都必須啟用IPv6（IPv6-enabled），并闡明本機(jī)構(gòu)將在所有系統(tǒng)中逐步停止使用IPv4。

　?。?）尋求IPv6試點(diǎn)機(jī)會(huì)，在2021財(cái)年結(jié)束前至少完成一個(gè)純IPv6業(yè)務(wù)系統(tǒng)的試點(diǎn)，并根據(jù)要求向行政管理和預(yù)算局報(bào)告試點(diǎn)結(jié)果。

　?。?）在2021財(cái)政年度結(jié)束前制定IPv6實(shí)施計(jì)劃，該計(jì)劃必須確保IPv6實(shí)施計(jì)劃與其他相關(guān)部門的現(xiàn)代化舉措相協(xié)調(diào)，并要求機(jī)構(gòu)提供的所有共享服務(wù)都能提供全面的IPv6支持（包括在純IPv6模式下運(yùn)行的能力），并在功能和性能上與現(xiàn)有的IPv4服務(wù)持平。此外，酌情更新信息資源管理IRM戰(zhàn)略計(jì)劃，以升級(jí)所有聯(lián)網(wǎng)的聯(lián)邦信息系統(tǒng)（以及與這些系統(tǒng)相關(guān)的IP資產(chǎn)），使其能夠完全實(shí)現(xiàn)原生IPv6運(yùn)行。該計(jì)劃應(yīng)說(shuō)明機(jī)構(gòu)的過渡過程，并包括以下里程碑和行動(dòng)：

　　到2023財(cái)政年度末，聯(lián)邦網(wǎng)絡(luò)上至少20%啟用IP協(xié)議的資產(chǎn)在純IPv6環(huán)境中運(yùn)行。

　　到2024財(cái)政年度末，聯(lián)邦網(wǎng)絡(luò)上至少50%啟用IP協(xié)議的資產(chǎn)在純IPv6環(huán)境中運(yùn)行。

　　到2025財(cái)政年度末，聯(lián)邦網(wǎng)絡(luò)上至少80%啟用IP協(xié)議的資產(chǎn)在純IPv6的環(huán)境中運(yùn)行。

　　查明不能切換到IPv6的聯(lián)邦信息系統(tǒng)并說(shuō)明理由，提供更換或停用這些系統(tǒng)的時(shí)間表。

　　自2010年以來(lái)，行政管理和預(yù)算局指南要求各機(jī)構(gòu)在一些系統(tǒng)中采購(gòu)并部署IPv6功能。我們建議各機(jī)構(gòu)在制定計(jì)劃時(shí)，參考從試點(diǎn)活動(dòng)和以往生產(chǎn)部署中獲得的實(shí)際經(jīng)驗(yàn)。各機(jī)構(gòu)的計(jì)劃會(huì)隨著時(shí)間的推移而變化，因此，重要的是確定哪些系統(tǒng)已經(jīng)具備運(yùn)行IPv6的條件，并制定和實(shí)施計(jì)劃，首先在這些系統(tǒng)中啟用IPv6，然后評(píng)估將這些系統(tǒng)遷移到純IPv6環(huán)境的潛力。

　?。?）與外部伙伴合作，確定與聯(lián)邦信息系統(tǒng)聯(lián)網(wǎng)的系統(tǒng)，并制定計(jì)劃將所有這些網(wǎng)絡(luò)接口遷移到使用IPv6。

　?。?）完成面向公共/外部的服務(wù)器和服務(wù)（如Web、電子郵件、DNS和ISP服務(wù)）以及與公共互聯(lián)網(wǎng)通信的內(nèi)部客戶端應(yīng)用程序和企業(yè)支撐網(wǎng)絡(luò)的升級(jí)，以使用原生IPv6。

　　二、IPv6的安全問題與特點(diǎn)

　　1、  IPv6的安全問題

　　RFC4942討論了在部署IPv6時(shí)，以及使用相關(guān)過渡機(jī)制運(yùn)行雙棧網(wǎng)絡(luò)時(shí)，需要考慮哪些安全問題。

　　概括起來(lái)，主要安全問題包括三種：由于IPv6協(xié)議引起的問題、由于過渡機(jī)制引起的問題，以及由于IPv6部署引起的問題。

　?。?）IPv6協(xié)議引起的問題包括：

　　協(xié)議本身的問題：路由頭、移動(dòng)IPv6、站點(diǎn)范圍的多播地址、ICMPv6、任播流量、地址隱私擴(kuò)展與DDoS防御、動(dòng)態(tài)DNS、擴(kuò)展頭、分片、鏈路本地地址和鄰居發(fā)現(xiàn)、安全路由通告、多路由器負(fù)載分擔(dān)等；

　　使用嵌入IPv4地址的IPv6地址繞過防護(hù)問題；

　　端到端透明性問題（無(wú)NAT）；

　　將IPv6隱藏于IPv6隧道帶來(lái)的繞過安全檢查問題。

　?。?）過渡機(jī)制引起的問題包括：6to4隧道機(jī)制、自動(dòng)隧道和中繼、IPv6隧道可能會(huì)破壞IPv4網(wǎng)絡(luò)等。

　?。?）IPv6部署引起的問題包括：缺乏安全保護(hù)的IPv6試運(yùn)行、DNS拒絕服務(wù)、尋址和安全路由、多播地址、ICMPv6、IPSec的傳輸模式、設(shè)備缺少相關(guān)功能、鄰居發(fā)現(xiàn)代理等。

　　2、IPv6安全問題的特點(diǎn)

　　IPv6與IPv4并沒有太大的區(qū)別：它是無(wú)連接的網(wǎng)絡(luò)協(xié)議，使用與IPv4相同的下層服務(wù)并向上層提供相同的服務(wù)。因此，除了下文所列舉的例外，IPv6和IPv4的安全問題和處置技術(shù)基本上大同小異。

　　（1）IPv6并不比IPv4更安全

　　因?yàn)镮Pv6是新的協(xié)議，有些人就認(rèn)為IPv6天生就比IPv4更安全。這種觀點(diǎn)大錯(cuò)特錯(cuò)。事實(shí)上，作為一個(gè)新的協(xié)議，很多實(shí)施過程中的bug還沒有被發(fā)現(xiàn)和修復(fù)，而且很少有人具備安全運(yùn)行IPv6網(wǎng)絡(luò)所需的專業(yè)安全知識(shí)。在部署IPv6的過程中，最大的威脅就是專業(yè)操作知識(shí)的缺乏：因此我們需要不斷強(qiáng)調(diào)培訓(xùn)的重要性。

　　關(guān)于IPv6的一個(gè)安全神話是：由于其巨大的地址空間，無(wú)法通過枚舉/64子網(wǎng)中所有的IPv6地址來(lái)進(jìn)行網(wǎng)絡(luò)掃描，因此懷有惡意的人無(wú)法定位攻擊目標(biāo)。但是，[RFC5157]描述了可用來(lái)尋找網(wǎng)絡(luò)上潛在目標(biāo)的替代技術(shù)，例如，枚舉區(qū)域內(nèi)所有的DNS名稱。[HOST-SCANNING]中也給出了有關(guān)這方面的其他做法。

　　另一個(gè)安全神話是：由于IPv6強(qiáng)制要求所有地方使用IPsec，因此它更安全。雖然最初的IPv6規(guī)范可能暗示了這一點(diǎn)，但[RFC6434]明確指出：并不強(qiáng)制性要求支持IPsec。此外，如果企業(yè)內(nèi)部的所有流量都被加密，那么不僅是惡意軟件，那些依靠檢測(cè)有效載荷的安全工具（入侵防御系統(tǒng)（IPS）、防火墻、訪問控制列表（ACL）、IP流信息導(dǎo)出（IPFIX）（[RFC7011]和[RFC7012]）等）都會(huì)受到影響。因此，IPv6中的IPsec與在IPv4中一樣有用（例如，用于在非可信網(wǎng)絡(luò)上建立VPN通道，或?yàn)槟承┨囟☉?yīng)用預(yù)留）。

　　最后一個(gè)安全神話是：因?yàn)椴辉儆袕V播，因此在IPv6中不存在放大攻擊（如[SMURF]）。這種說(shuō)法也是不準(zhǔn)確的，因?yàn)槁酚善骱椭鳈C(jī)在轉(zhuǎn)發(fā)或接收組播消息時(shí)，會(huì)產(chǎn)生ICMP錯(cuò)誤（在某些情況下）或信息消息（見[RFC4443]的2.4節(jié)）。因此，必須像IPv4一樣限制ICMPv6報(bào)文的生成和轉(zhuǎn)發(fā)速率。

　　需要注意的是，在雙棧網(wǎng)絡(luò)中，除了要考慮IPv4和IPv6共存時(shí)兩者之間交互及轉(zhuǎn)換的安全因素外，還需要考慮兩者的安全實(shí)現(xiàn)。

　?。?）IPv6和IPv4安全的相似之處

　　如前所述，IPv6與IPv4十分相似，因此，有幾種攻擊同時(shí)適用于這兩個(gè)協(xié)議族，包括：

　　應(yīng)用層攻擊：如跨站腳本或SQL注入。

　　流氓設(shè)備：如流氓Wi-Fi接入點(diǎn)。

　　泛洪和所有基于流量的拒絕服務(wù)：包括對(duì)IPv6流量使用控制平面策略（見[RFC6192]）。

　　舉例來(lái)說(shuō)，IPv6的唯一本地地址（ULA）[RFC4193]和IPv4的私有地址 [RFC1918]類似，它們并不能像“魔法”一樣提供安全性。使用這兩種地址時(shí)，邊緣路由器必須采用嚴(yán)格的過濾器來(lái)阻止這些私有地址進(jìn)入網(wǎng)絡(luò)，同時(shí)也要阻止它們離開網(wǎng)絡(luò)。這種過濾可以由企業(yè)來(lái)完成，也可以由ISP來(lái)完成，但謹(jǐn)慎的管理員會(huì)傾向于在自己的企業(yè)中完成。

　?。?）IPv6的特定安全問題

　　即使IPv6與IPv4類似，也存在一些差異會(huì)使IPv6產(chǎn)生特有的漏洞或問題。在本節(jié)中，我們將舉例說(shuō)明這些差異。

　　隱私擴(kuò)展地址使安全人員或網(wǎng)絡(luò)運(yùn)營(yíng)商想要追溯到其網(wǎng)絡(luò)中的主機(jī)日志記錄時(shí)，很難跟蹤審計(jì)線索。隱私擴(kuò)展地址[RFC4941]通常用于保護(hù)個(gè)人隱私，通過定期改變IPv6地址中的接口標(biāo)識(shí)符部分，以避免由于64位擴(kuò)展唯一標(biāo)識(shí)符EUI-64（基于媒體訪問控制MAC地址）保持不變而導(dǎo)致主機(jī)被追蹤。雖然在互聯(lián)網(wǎng)上這是算得上是優(yōu)點(diǎn)，但它也使安全人員或網(wǎng)絡(luò)運(yùn)營(yíng)商想要追溯到其網(wǎng)絡(luò)中的主機(jī)日志記錄時(shí)，很難跟蹤審計(jì)線索（即使前綴部分保持不變）：因?yàn)楫?dāng)跟蹤完成時(shí)，搜索到的IPv6地址可能已經(jīng)從網(wǎng)絡(luò)中消失了。因此，使用隱私擴(kuò)展地址通常需要對(duì)IPv6地址與MAC地址的綁定進(jìn)行額外的監(jiān)控和記錄（也可參見[IPv6-SECURITY]第2.5節(jié)中的監(jiān)控部分）。為提供地址問責(zé)制，早期一些企業(yè)化部署采用了從交換機(jī)和路由器設(shè)備收集IP/MAC地址映射的方法。盡管可能需要收集比同樣規(guī)模的IPv4網(wǎng)絡(luò)更多的地址數(shù)據(jù)，但這種方法也被證明卓有成效。另一種方法是通過強(qiáng)制使用DHCPv6來(lái)防止隱私擴(kuò)展地址，這樣主機(jī)只能獲得DHCPv6服務(wù)器分配的地址。這可以通過配置路由器（在RA中設(shè)置M位，搭配包含所有通告的前綴且不設(shè)置A位）來(lái)實(shí)現(xiàn)（防止使用無(wú)狀態(tài)自動(dòng)配置）。當(dāng)然，這種技術(shù)要求所有主機(jī)都支持有狀態(tài)的DHCPv6。需要注意的是，并不是所有的操作系統(tǒng)在處理帶有M位集合的RA時(shí)都表現(xiàn)出相同的行為。由于鄰居發(fā)現(xiàn)協(xié)議（NDP）中缺乏相關(guān)對(duì)A、M和O位的規(guī)范性定義，因此不同的操作系統(tǒng)行為各異。[DHCPv6-SLAAC-PROBLEM]對(duì)M位和DHCPv6的交互作用進(jìn)行了更詳細(xì)的分析。

　　擴(kuò)展頭使ACL等無(wú)狀態(tài)數(shù)據(jù)包過濾器的任務(wù)復(fù)雜化。如果使用ACL來(lái)執(zhí)行安全策略，那么企業(yè)必須驗(yàn)證其ACL（也包括有狀態(tài)的防火墻）是否能夠處理擴(kuò)展頭（這意味著為了找到上層的有效負(fù)載，需要完全理解協(xié)議并解析擴(kuò)展頭），并阻止不需要的擴(kuò)展頭（例如，實(shí)現(xiàn)[RFC5095]）。這個(gè)話題在[RFC7045]中有深入討論。

　　分片可能導(dǎo)致包過大“消不能過濾，并用來(lái)逃避某些安全機(jī)制。分片在IPv6中有所不同，因?yàn)樗挥稍粗鳈C(jī)完成，而不發(fā)生在轉(zhuǎn)發(fā)操作期間。這意味著必須允許ICMPv6的”包過大“消息通過網(wǎng)絡(luò)，而不能過濾[RFC4890]。分片也可以用來(lái)逃避一些安全機(jī)制，如RA-Guard[RFC6105]。另見[RFC5722]和[RFC7113]。

　　IPv6引入的NDP同樣缺乏安全性。 IPv4和IPv6之間最大的區(qū)別之一是后者引入了NDP[RFC4861]，包括各種重要的IPv6協(xié)議功能，包括IPv4中由地址解析協(xié)議（ARP）[RFC0826]提供的功能。NDP在ICMPv6上運(yùn)行（如上所述，這意味著安全策略必須允許某些ICMPv6報(bào)文通過，如RFC 4890所述），但與ARP等一樣缺乏安全性，因?yàn)槿狈?nèi)置的報(bào)文驗(yàn)證。雖然已經(jīng)定義了安全鄰居發(fā)現(xiàn)（SEND）[RFC3971]和加密生成地址（CGA）[RFC3972]，但它們并沒有被廣泛實(shí)現(xiàn)。NDP套件中RA的威脅模型與DHCPv4（和DHCPv6）的威脅模型類似，因此惡意主機(jī)可以是惡意路由器或惡意DHCP服務(wù)器。在邊緣交換機(jī)中借助DHCPv4 snooping技術(shù)可以使IPv4網(wǎng)絡(luò)更加安全，同樣RA snooping也可以提高IPv6網(wǎng)絡(luò)的安全性（在純IPv4網(wǎng)絡(luò)中亦是如此）。因此，對(duì)IPv4使用此類技術(shù)的企業(yè)應(yīng)該對(duì)IPv6使用等效的技術(shù)，包括RA-Guard[RFC6105]和源地址驗(yàn)證改進(jìn)（SAVI）工作組的所有正在進(jìn)行的工作（例如[RFC6959]），帶來(lái)的保護(hù)效果類似于IPv4中的動(dòng)態(tài)ARP監(jiān)控。其他拒絕服務(wù)漏洞與NDP緩存耗盡有關(guān)，處置技術(shù)可以在（[RFC6583]）中找到。

　　如前所述，運(yùn)行雙棧網(wǎng)絡(luò)會(huì)使攻擊風(fēng)險(xiǎn)加倍，因?yàn)閻阂庹攥F(xiàn)在有兩個(gè)攻擊載體：IPv4和IPv6。這意味著，所有在雙棧環(huán)境中運(yùn)行的路由器和主機(jī)，如果啟用了兩個(gè)協(xié)議族（即使是默認(rèn)設(shè)定），則必須為兩個(gè)協(xié)議版本制定一致的安全策略。例如：所有Web服務(wù)器開放TCP 80和443端口，并拒絕其他端口的連接，這一點(diǎn)必須在IPv4和IPv6中同時(shí)實(shí)現(xiàn)。因此，管理員使用的工具需要支持這種操作。

　　三、部署IPv6的安全策略

　　顯然，IPv6網(wǎng)絡(luò)應(yīng)該以安全的方式部署。關(guān)于IPv6安全部署，除了聯(lián)邦指南之外，還有詳細(xì)的行業(yè)指南和最佳實(shí)踐文檔。關(guān)于如何保障IPv6安全的知識(shí)庫(kù)已經(jīng)非常成熟，但人們往往忽略了IPv6可以更有效地實(shí)現(xiàn)整體安全。例如，那些使用IPv6尋址（這與網(wǎng)絡(luò)安全架構(gòu)密切相關(guān)）的組織發(fā)現(xiàn)，他們的安全配置復(fù)雜度顯著降低。

　　RFC7381討論了IPv6部署時(shí)應(yīng)采取的安全策略。業(yè)界在IPv4的網(wǎng)絡(luò)安全方面已經(jīng)頗有心得，網(wǎng)絡(luò)運(yùn)營(yíng)商在部署IPv6時(shí)，應(yīng)該充分利用這些知識(shí)和經(jīng)驗(yàn)。

　　為了幫助聯(lián)邦政府獲得這些安全效益，各機(jī)構(gòu)應(yīng)：

　　確保將生產(chǎn)環(huán)境全面支持IPv6納入IT安全計(jì)劃、架構(gòu)和采購(gòu)中。

　　確保所有支撐網(wǎng)絡(luò)運(yùn)行或企業(yè)安全服務(wù)的系統(tǒng)（如身份和訪問管理系統(tǒng)、防火墻和入侵檢測(cè)/保護(hù)系統(tǒng)、終端安全系統(tǒng)、安全事件管理系統(tǒng)、訪問控制和政策執(zhí)行系統(tǒng)、威脅情報(bào)和聲譽(yù)系統(tǒng)）都支持IPv6，并能在純IPv6環(huán)境中運(yùn)行。

　　酌情遵循相應(yīng)的聯(lián)邦指南，并充分利用行業(yè)最佳實(shí)踐，確保IPv6網(wǎng)絡(luò)的安全部署和運(yùn)行。

　　確保所有安全和隱私政策評(píng)估、授權(quán)和監(jiān)測(cè)程序能夠充分解決聯(lián)邦信息系統(tǒng)中IPv6的生產(chǎn)使用問題。