CTI論壇(ctiforum)9月14日消息（記者凡易)： 6月6日,全球IPv6網(wǎng)絡(luò)正式啟動(dòng)（World IPv6 Launch）。當(dāng)天，主要的內(nèi)容和網(wǎng)絡(luò)服務(wù)供應(yīng)商開(kāi)始永久啟用IPv6支持, 創(chuàng)造了本地IPv6流量高峰，同時(shí)也采用6in4和Teredo等鏈路協(xié)議。從促進(jìn)IPv6使用的目的來(lái)看，大會(huì)是非常成功的。但是當(dāng)IPv6發(fā)布日已經(jīng)過(guò)去，如何處理IPv6流量的安全問(wèn)題卻還沒(méi)有解決。
 
　　首要的安全問(wèn)題是黑客可利用IPv6鏈路技術(shù)隱藏在IPv4流量中，產(chǎn)生了一條沒(méi)有防護(hù)的進(jìn)出企業(yè)網(wǎng)絡(luò)的通道。關(guān)閉這些通道需要了解IPv6轉(zhuǎn)換機(jī)制的運(yùn)作及其可視性。
 
　　要理解機(jī)構(gòu)需要實(shí)施IPv6的原因是很容易的。簡(jiǎn)單來(lái)說(shuō)，就是第一個(gè)互聯(lián)網(wǎng)協(xié)議版本IPv4空間耗盡。每個(gè)與網(wǎng)絡(luò)相連的設(shè)備都有固定的IP地址，IPv4協(xié)議允許32位的IP地址，也就是2³² 個(gè)的可能地址，而IPv6則將IP地址數(shù)量增加到2¹²⁸。雖然目前IPv4運(yùn)行良好，但持續(xù)增長(zhǎng)的網(wǎng)絡(luò)連接設(shè)備終會(huì)將其空間消耗殆盡。IPv6也在其他方面對(duì)IPv4進(jìn)行了優(yōu)化，比如說(shuō)，簡(jiǎn)化地址分配。
 
　　但是啟用IPv6對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者還許多其他的影響。過(guò)去，企業(yè)一直重點(diǎn)保護(hù)IPv4網(wǎng)絡(luò)，現(xiàn)在他們必須投入相同的力度在IPv6的運(yùn)行上。安全管理員需要學(xué)習(xí)IPv6新協(xié)議的基本內(nèi)容，以應(yīng)對(duì)變化帶來(lái)的挑戰(zhàn)。在這方面，網(wǎng)上公布的最佳實(shí)踐是美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(National Institute of Standards and Technology)的綱要。
 
　　如果安全設(shè)備支持IPv6，現(xiàn)在就是啟用它的時(shí)候。一些操作系統(tǒng)，諸如Windows Vista和Windows 7 中IPv6轉(zhuǎn)換機(jī)制是默認(rèn)設(shè)置。這意味著IT部門(mén)并不知道正在運(yùn)行IPv6，最終讓使用戶繞開(kāi)防火墻和網(wǎng)絡(luò)入侵防御系統(tǒng)（IPS）。
 
　　這些鏈路通過(guò)啟用IPv6主機(jī)和路由器，在IPv4互聯(lián)網(wǎng)上與其他IPv6設(shè)備連接來(lái)運(yùn)行。鏈路的問(wèn)題在于，它們可以穿過(guò)防火墻——攻擊者或許能逃出企業(yè)安全控制并連接到企業(yè)網(wǎng)絡(luò)內(nèi)部資源。因此，使用如6 to 4的鏈路協(xié)議支持轉(zhuǎn)換到IPv6需要慎重考慮，盡可能保持在最低限度。
 
　　事實(shí)情況是，IPv6可能在企業(yè)不知情的情況下，已經(jīng)在網(wǎng)絡(luò)中運(yùn)行，且可能被僵尸網(wǎng)絡(luò)和黑客用作隱蔽通道。雖然企業(yè)可能不會(huì)主動(dòng)在網(wǎng)絡(luò)中運(yùn)行IPv6，但是，他們的安全基礎(chǔ)設(shè)置應(yīng)具備檢測(cè)IPv6的流量的功能。畢竟，你不能阻止你無(wú)法看到的。
 
　　談及保護(hù)IPv6部署，最重要的是可視性。企業(yè)需要部署支持IPv6并使IPv6運(yùn)作的安全產(chǎn)品。在某些情況下，這可能需要升級(jí)，例如，傳統(tǒng)的入侵防御系統(tǒng)（IPS）和防火墻，就可能已經(jīng)無(wú)法檢測(cè)到IPv6流量。可喜的是，在過(guò)去的幾年中，許多主要的防火墻和網(wǎng)絡(luò)安全廠商已經(jīng)增加了對(duì)IPv6的支持。盡管如此，企業(yè)仍應(yīng)向供應(yīng)商反應(yīng)，以確保產(chǎn)品提供了他們所需的所有功能，并且開(kāi)始在他們的環(huán)境中應(yīng)用。被認(rèn)可的IPv6測(cè)試方案有NIST的USGv6 Profile和測(cè)試計(jì)劃。
 
　　 隨著越來(lái)越多的企業(yè)部署IPv6，管理員需要特別注意轉(zhuǎn)換機(jī)制和設(shè)備配置，以避免向網(wǎng)絡(luò)開(kāi)放未經(jīng)授權(quán)的途徑。保護(hù)網(wǎng)絡(luò)安全首要關(guān)鍵是監(jiān)控所有網(wǎng)絡(luò)的流量，如果管理員發(fā)現(xiàn)未經(jīng)授權(quán)的鏈路，那么他們要立即關(guān)閉這些鏈路避免被利用為攻擊流量。IPv6的必然性意味著企業(yè)需要現(xiàn)在便開(kāi)始采取措施來(lái)支持其安全使用。
 
　　Check Point認(rèn)為，對(duì)于很多企業(yè)和全球服務(wù)提供商來(lái)說(shuō)，過(guò)渡至IPv6并部署可以同時(shí)為IPv6和IPv4提供保護(hù)的網(wǎng)絡(luò)安全解決方案至關(guān)重要。企業(yè)應(yīng)該清楚地認(rèn)識(shí)到這次遷移所帶來(lái)的安全挑戰(zhàn)�？蛻粝胍獜浹a(bǔ)協(xié)議轉(zhuǎn)換帶來(lái)的安全缺口，最直接的方法就是采用獲得IPv6標(biāo)識(shí)認(rèn)證的安全產(chǎn)品。
 
　　在向IPv6過(guò)渡的浪潮中，安全廠商也在一直在尋求不斷滿足客戶實(shí)施需求的解決方案。例如，Check Point R75.40軟件刀片和GAiA 統(tǒng)一的操作系統(tǒng)（OS）就通過(guò)了UNH互操作性實(shí)驗(yàn)室(UNH Interoperability Laboratory)的評(píng)測(cè)，并獲得了IPv6論壇授予的第二階段（金）標(biāo)識(shí)（Phase Two (Gold) Logo）。這表示此兩款產(chǎn)品包含所有強(qiáng)制的IPv6核心協(xié)議，并且能夠與其他IPv6 和IPv4實(shí)施方案互相操作，滿足IPv6標(biāo)識(shí)認(rèn)證委員會(huì)的所有技術(shù)要求。Check Point R75.40，GAiA和新型安全設(shè)備能夠輕松與新版本的網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)互相操作，讓客戶無(wú)縫且安全地過(guò)渡到IPv6時(shí)代。