美國行政管理和預(yù)算局的最新備忘錄要求,，2025年前實(shí)現(xiàn)至少80%的純IPv6網(wǎng)絡(luò)升級，無法升級的基礎(chǔ)設(shè)施將逐年淘汰。

　　部署IPv6過程中,，最大的威脅就是專業(yè)操作知識的缺乏。IPv6作為新協(xié)議,，很多實(shí)施過程中的Bug還未被發(fā)現(xiàn)和修復(fù),，且很少有人具備安全運(yùn)行IPv6網(wǎng)絡(luò)所需的專業(yè)安全知識。

　　為實(shí)現(xiàn)IPv6安全,，美國聯(lián)邦政府備忘錄要求確保將生產(chǎn)環(huán)境全面支持IPv6納入IT安全計劃,、架構(gòu)和采購中。

　　在雙棧網(wǎng)絡(luò)中,，除了要考慮IPv4和IPv6共存時兩者之間交互及轉(zhuǎn)換的安全因素外,，還需要考慮兩者的安全實(shí)現(xiàn)。

　　一,、美國政府全面轉(zhuǎn)向IPv6協(xié)議

　　2020年11月19日,，美國行政管理和預(yù)算局簽發(fā)了關(guān)于全面過渡到IPv6協(xié)議的備忘錄（M-21-07），旨在推進(jìn)聯(lián)邦機(jī)構(gòu)的IPv6全面升級,。該備忘錄從基礎(chǔ)設(shè)施,、采購要求,、USGv6計劃、網(wǎng)絡(luò)安全等角度介紹了聯(lián)邦政府對IPv6業(yè)務(wù)部署和使用的指導(dǎo),，其戰(zhàn)略意圖是讓聯(lián)邦政府使用純IPv6（IPv6-only）提供信息服務(wù),、運(yùn)營網(wǎng)絡(luò)和訪問其他服務(wù)。該備忘錄特別指出,，同時支持IPv4和IPv6的雙棧方案由于運(yùn)維過于復(fù)雜,，長遠(yuǎn)來看是不必要的路徑。

　　選擇純IPv6部署能夠降低復(fù)雜性和運(yùn)營成本,，現(xiàn)在看來已日趨明朗化,。該備忘錄為美國聯(lián)邦政府網(wǎng)絡(luò)的純IPv6升級設(shè)置了行動計劃和時間表，備忘錄要求2023年前實(shí)現(xiàn)至少20%的純IPv6網(wǎng)絡(luò)升級,，2024年前實(shí)現(xiàn)至少50%的純IPv6網(wǎng)絡(luò)升級,，2025年前實(shí)現(xiàn)至少80%的純IPv6網(wǎng)絡(luò)升級，無法升級的基礎(chǔ)設(shè)施將逐年淘汰,。

　　本文將闡述美國聯(lián)邦政府轉(zhuǎn)向IPv6的歷史背景,、過渡的具體要求以及未來的規(guī)劃目標(biāo)，以及聯(lián)邦政府對IPv6的安全要求,，介紹了IPv6部署實(shí)施時可能遇到的安全問題,。

　　1、歷史背景

　　IP地址是全球唯一的數(shù)字標(biāo)識符,，用于區(qū)分在互聯(lián)網(wǎng)上進(jìn)行通信的各個實(shí)體,。隨著連接到互聯(lián)網(wǎng)上的用戶、設(shè)備和虛擬實(shí)體數(shù)量的不斷增加,，全球?qū)P地址的需求成倍增長,，導(dǎo)致世界上所有地區(qū)的IPv4地址消耗殆盡。隨著時間的推移,，人們開發(fā)了許多技術(shù)和經(jīng)濟(jì)上的權(quán)宜之計,，試圖延長IPv4的使用壽命，但所有這些措施都增加了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的成本和復(fù)雜性,，并為創(chuàng)新帶來了巨大的技術(shù)和經(jīng)濟(jì)阻礙,。

　　IPv6是下一代互聯(lián)網(wǎng)協(xié)議，旨在取代自1983年以來一直使用的IPv4,。人們普遍認(rèn)為,，全面過渡到IPv6是確保互聯(lián)網(wǎng)技術(shù)和服務(wù)未來增長和創(chuàng)新的唯一可行選擇,。美國聯(lián)邦政府將擴(kuò)大和加強(qiáng)向IPv6過渡的戰(zhàn)略承諾,，以適應(yīng)行業(yè)趨勢。

　　從2005年開始,，聯(lián)邦政府的IPv6計劃為IPv6技術(shù)的商業(yè)開發(fā)推廣起到了重要的催化作用,。2005年8月，美國行政管理和預(yù)算局發(fā)布了M-05-22《互聯(lián)網(wǎng)協(xié)議版本6（IPv6）過渡規(guī)劃》,，要求各機(jī)構(gòu)在2008年6月30日前在其骨干網(wǎng)上啟用IPv6,，該政策概述了部署和采購要求。2010年9月,，行政管理和預(yù)算局發(fā)布了題為“向IPv6過渡”的備忘錄,，要求聯(lián)邦機(jī)構(gòu)為公共互聯(lián)網(wǎng)服務(wù)器和與公共服務(wù)器通信的內(nèi)部應(yīng)用程序?qū)嶋H部署“原生IPv6”（指在系統(tǒng)或服務(wù)中直接支持IPv6，而無需通過IPv4進(jìn)行基本通信）,。具體而言,，2010年備忘錄要求各機(jī)構(gòu)在2012財政年度結(jié)束前，將面向公眾/外部的服務(wù)器和服務(wù)（如網(wǎng)絡(luò),、電子郵件,、DNS、ISP服務(wù)）升級為實(shí)際使用原生IPv6,；并在2014財政年度結(jié)束前,，將與公共互聯(lián)網(wǎng)服務(wù)器通信的內(nèi)部客戶端應(yīng)用程序和企業(yè)支撐性網(wǎng)絡(luò)升級為實(shí)際使用原生IPv6。

　　在過去的5年里,，IPv6在產(chǎn)業(yè)界的發(fā)展勢頭急劇上升,。目前，出于降低成本,、降低復(fù)雜性,、提高安全性和消除網(wǎng)絡(luò)信息系統(tǒng)創(chuàng)新障礙的考慮，在許多商業(yè)領(lǐng)域（例如大型網(wǎng)絡(luò)運(yùn)營商,、軟件供應(yīng)商,、服務(wù)提供商、企業(yè),、國家政府和外國政府）已經(jīng)部署了大量IPv6基礎(chǔ)設(shè)施,。

　　許多組織已經(jīng)或正計劃遷移到“純IPv6”基礎(chǔ)架構(gòu)（NIST USGv6 Profile定義了產(chǎn)品在純IPv6環(huán)境中運(yùn)行的技術(shù)要求），以減少維持兩種不同網(wǎng)絡(luò)體系帶來的運(yùn)營問題,。對于公共互聯(lián)網(wǎng)服務(wù)來說,，前端基礎(chǔ)設(shè)施可能需要保留IPv4接口和過渡機(jī)制很長時間，但這并不排斥后端基礎(chǔ)設(shè)施在純IPv6環(huán)境下運(yùn)行,。

　　2,、具體要求

　　（1）準(zhǔn)備純IPv6基礎(chǔ)設(shè)施

　　美國行政管理和預(yù)算局曾發(fā)布政策,，討論了各機(jī)構(gòu)在可預(yù)見的未來運(yùn)行雙棧（IPv4和IPv6）的前景,；然而近年來，這種方法顯得過于復(fù)雜,、難以維持,、并且沒有必要,。因此，標(biāo)準(zhǔn)機(jī)構(gòu)和領(lǐng)先的技術(shù)公司開始向純IPv6部署的方向遷移,，以消除運(yùn)行兩種網(wǎng)絡(luò)協(xié)議帶來的復(fù)雜性,、運(yùn)營成本和威脅向量。

　　許多聯(lián)邦機(jī)構(gòu)已在面向公眾的系統(tǒng)上部署IPv6,，其訪問量已經(jīng)與IPv4相當(dāng),，甚至超過了IPv4。隨著信息技術(shù)不斷向移動平臺,、物聯(lián)網(wǎng)（IOT）和無線網(wǎng)絡(luò)發(fā)展,，IPv6的增長將持續(xù)加速。

　?。?）遵循聯(lián)邦I(lǐng)Pv6采購要求

　　2009年12月,，聯(lián)邦采購條例委員會發(fā)布了聯(lián)邦采購條例的最終修訂規(guī)則，以確保未來的網(wǎng)絡(luò)信息技術(shù)采購包含IPv6需求,。該修訂案的關(guān)鍵內(nèi)容是：“除非機(jī)構(gòu)的首席信息官放棄這一要求,，否則在采購使用IP協(xié)議的信息技術(shù)時，需求文檔必須包含參考USGv6 Profile（NIST特別出版物500-267）中定義的相應(yīng)技術(shù)能力,，以及USGv6測試計劃中定義的相應(yīng)一致性聲明,。”

　　這種戰(zhàn)略性的采購方法能夠?qū)崿F(xiàn)自然的技術(shù)更新周期,，以升級已安裝的聯(lián)網(wǎng)IT產(chǎn)品和服務(wù)底層,，使其能夠“支持IPv6”（IPv6-capable，指系統(tǒng)或服務(wù)已經(jīng)正確地實(shí)現(xiàn)了一套完整的IPv6功能）,。NIST USGv6 Profile描述了不同產(chǎn)品類型的IPv6功能詳細(xì)技術(shù)要求,。這樣做可以確保聯(lián)邦I(lǐng)T系統(tǒng)能夠發(fā)揮IPv6的技術(shù)和經(jīng)濟(jì)效益，并使聯(lián)邦首席信息官能夠在適當(dāng)?shù)臅r候最終遷移到純IPv6環(huán)境,。根據(jù)現(xiàn)有的聯(lián)邦采購條例委員會要求,，各機(jī)構(gòu)應(yīng)：

　　在購買網(wǎng)絡(luò)信息技術(shù)和服務(wù)時，繼續(xù)使用USGv6 Profile來確定機(jī)構(gòu)或采購對IPv6能力的具體要求,。展望未來,，應(yīng)明確要求硬件和軟件能夠運(yùn)行在純IPv6環(huán)境中；

　　持續(xù)督促潛在的供應(yīng)商通過USGv6測試計劃來證明其符合IPv6的需求描述,；

　　在極少數(shù)情況下,，如果要求證明IPv6能力會對采購行動造成不必要的負(fù)擔(dān)，則允許機(jī)構(gòu)的首席信息官針對某些個案放棄這一要求,。在這種情況下,，采購機(jī)構(gòu)應(yīng)要求供應(yīng)商提供文件，詳細(xì)說明其產(chǎn)品納入IPv6能力的明確計劃（如時間表）。

　?。?）推進(jìn)USGv6計劃

　　為了繼續(xù)保護(hù)聯(lián)邦在IPv6技術(shù)上的投資,，并確保采購中IPv6功能的高質(zhì)量和完整性，NIST將繼續(xù)更新和擴(kuò)大USGv6計劃,。NIST將繼續(xù)定期更新USGv6 Profile,，以納入最新的互聯(lián)網(wǎng)工程任務(wù)組（IETF）規(guī)范相關(guān)的IPv6技術(shù)。特別強(qiáng)調(diào)的是,，應(yīng)確保納入IPv6安全技術(shù)以及那些支持其他聯(lián)邦計劃所需的網(wǎng)絡(luò)功能，如物聯(lián)網(wǎng),、采用基于云共享的服務(wù),、先進(jìn)的無線通信以及軟件定義和虛擬化網(wǎng)絡(luò)。

　　USGv6測試計劃將繼續(xù)為商業(yè)產(chǎn)品提供政府范圍內(nèi)的一致性和一般互操作性測試,。該計劃將繼續(xù)由經(jīng)認(rèn)可的外部測試實(shí)驗(yàn)室實(shí)施,，并繼續(xù)與現(xiàn)有的行業(yè)主導(dǎo)的測試計劃進(jìn)行最大程度的協(xié)調(diào)，以盡量減少供應(yīng)商的負(fù)擔(dān),。為避免對通用檢測要求的不必要重復(fù),，各機(jī)構(gòu)應(yīng)：

　　利用USGv6測試計劃對商業(yè)產(chǎn)品進(jìn)行基本的一致性和一般互操作性測試；

　　確保機(jī)構(gòu)或采購的特定測試側(cè)重于USGv6測試計劃中未涉及的特定系統(tǒng)集成,、性能和信息保障測試,。

　　（4）不同政府機(jī)構(gòu)的責(zé)任

　　以下機(jī)構(gòu)牽頭在整個政府范圍內(nèi)支持向IPv6過渡的工作,。

　　商務(wù)部：

　　繼續(xù)加強(qiáng)和維護(hù)USGv6 Profile和測試計劃,；

　　與國土安全部合作，為整個聯(lián)邦信息技術(shù)基礎(chǔ)設(shè)施采用IPv6制定增強(qiáng)性安全指南,。

　　國土安全部：

　　與商務(wù)部合作,，為整個聯(lián)邦信息技術(shù)基礎(chǔ)設(shè)施采用IPv6制定增強(qiáng)安全指南和操作指引。

　　加強(qiáng)相關(guān)的安全彈性程序和服務(wù)（如可信互聯(lián)網(wǎng)連接,、持續(xù)診斷和處置,、愛因斯坦計劃），以全面支持IPv6在所有聯(lián)邦信息技術(shù)系統(tǒng)中投入生產(chǎn)使用,；

　　加強(qiáng)測量及報告聯(lián)邦信息系統(tǒng)內(nèi)IPv6和IPv4部署程度和使用水平的能力,。

　　總務(wù)管理局：

　　確保相關(guān)的總務(wù)管理局程序和服務(wù)全面支持IPv6，并在功能和性能上與現(xiàn)有的IPv4服務(wù)持平,。

　　確保政府范圍內(nèi)涉及IP協(xié)議的采購合同模板包含IPv6需求,；

　　與各機(jī)構(gòu)和企業(yè)基礎(chǔ)設(shè)施解決方案（EIS）供應(yīng)商合作，確保所有EIS網(wǎng)絡(luò)服務(wù)在部署時按照機(jī)構(gòu)IPv6實(shí)施計劃和EIS任務(wù)單的規(guī)定啟用IPv6,。

　　聯(lián)邦首席信息官委員會以及聯(lián)邦首席采購官委員會：

　　協(xié)助行政管理和預(yù)算局和各機(jī)構(gòu),，在必要時為IPv6的實(shí)施提供指導(dǎo)。

　　提供一個機(jī)構(gòu)間論壇來分享經(jīng)驗(yàn)和最佳實(shí)踐,，并在適當(dāng)時機(jī)與外部合作伙伴協(xié)同努力,，協(xié)助向IPv6的過渡,；

　　酌情與工業(yè)界接觸，學(xué)習(xí)經(jīng)驗(yàn)教訓(xùn)和最佳實(shí)踐,，確保產(chǎn)品和服務(wù)滿足聯(lián)邦政府的需求,。

　　3、規(guī)劃目標(biāo)

　　簡單,、現(xiàn)代和可擴(kuò)展的網(wǎng)絡(luò)基礎(chǔ)設(shè)施可帶來技術(shù),、經(jīng)濟(jì)和安全效益。這是私營部門向純IPv6演進(jìn)的動力,。為了跟上并利用這種網(wǎng)絡(luò)技術(shù)的演變,，各機(jī)構(gòu)應(yīng)：

　　（1）在本政策發(fā)布后45天內(nèi),，指定一個全機(jī)構(gòu)范圍的IPv6綜合項(xiàng)目組（包括采購,、政策和技術(shù)成員）或其他治理結(jié)構(gòu)，以有效地管理和執(zhí)行IPv6工作,。

　?。?）在本備忘錄發(fā)布后的180天內(nèi)，發(fā)布并在機(jī)構(gòu)的公開訪問網(wǎng)站上提供全機(jī)構(gòu)范圍的IPv6政策,，要求在2023財政年度（FY）之前,，所有新聯(lián)網(wǎng)的聯(lián)邦信息系統(tǒng)在部署時都必須啟用IPv6（IPv6-enabled），并闡明本機(jī)構(gòu)將在所有系統(tǒng)中逐步停止使用IPv4,。

　?。?）尋求IPv6試點(diǎn)機(jī)會，在2021財年結(jié)束前至少完成一個純IPv6業(yè)務(wù)系統(tǒng)的試點(diǎn),，并根據(jù)要求向行政管理和預(yù)算局報告試點(diǎn)結(jié)果,。

　　（4）在2021財政年度結(jié)束前制定IPv6實(shí)施計劃,，該計劃必須確保IPv6實(shí)施計劃與其他相關(guān)部門的現(xiàn)代化舉措相協(xié)調(diào),，并要求機(jī)構(gòu)提供的所有共享服務(wù)都能提供全面的IPv6支持（包括在純IPv6模式下運(yùn)行的能力），并在功能和性能上與現(xiàn)有的IPv4服務(wù)持平,。此外,，酌情更新信息資源管理IRM戰(zhàn)略計劃，以升級所有聯(lián)網(wǎng)的聯(lián)邦信息系統(tǒng)（以及與這些系統(tǒng)相關(guān)的IP資產(chǎn)）,，使其能夠完全實(shí)現(xiàn)原生IPv6運(yùn)行,。該計劃應(yīng)說明機(jī)構(gòu)的過渡過程，并包括以下里程碑和行動：

　　到2023財政年度末,，聯(lián)邦網(wǎng)絡(luò)上至少20%啟用IP協(xié)議的資產(chǎn)在純IPv6環(huán)境中運(yùn)行,。

　　到2024財政年度末，聯(lián)邦網(wǎng)絡(luò)上至少50%啟用IP協(xié)議的資產(chǎn)在純IPv6環(huán)境中運(yùn)行。

　　到2025財政年度末,，聯(lián)邦網(wǎng)絡(luò)上至少80%啟用IP協(xié)議的資產(chǎn)在純IPv6的環(huán)境中運(yùn)行,。

　　查明不能切換到IPv6的聯(lián)邦信息系統(tǒng)并說明理由，提供更換或停用這些系統(tǒng)的時間表,。

　　自2010年以來,，行政管理和預(yù)算局指南要求各機(jī)構(gòu)在一些系統(tǒng)中采購并部署IPv6功能。我們建議各機(jī)構(gòu)在制定計劃時,，參考從試點(diǎn)活動和以往生產(chǎn)部署中獲得的實(shí)際經(jīng)驗(yàn),。各機(jī)構(gòu)的計劃會隨著時間的推移而變化，因此,，重要的是確定哪些系統(tǒng)已經(jīng)具備運(yùn)行IPv6的條件,，并制定和實(shí)施計劃，首先在這些系統(tǒng)中啟用IPv6,，然后評估將這些系統(tǒng)遷移到純IPv6環(huán)境的潛力。

　?。?）與外部伙伴合作,，確定與聯(lián)邦信息系統(tǒng)聯(lián)網(wǎng)的系統(tǒng)，并制定計劃將所有這些網(wǎng)絡(luò)接口遷移到使用IPv6,。

　?。?）完成面向公共/外部的服務(wù)器和服務(wù)（如Web、電子郵件,、DNS和ISP服務(wù)）以及與公共互聯(lián)網(wǎng)通信的內(nèi)部客戶端應(yīng)用程序和企業(yè)支撐網(wǎng)絡(luò)的升級,，以使用原生IPv6。

　　二,、IPv6的安全問題與特點(diǎn)

　　1,、  IPv6的安全問題

　　RFC4942討論了在部署IPv6時，以及使用相關(guān)過渡機(jī)制運(yùn)行雙棧網(wǎng)絡(luò)時,，需要考慮哪些安全問題,。

　　概括起來，主要安全問題包括三種：由于IPv6協(xié)議引起的問題,、由于過渡機(jī)制引起的問題,，以及由于IPv6部署引起的問題。

　?。?）IPv6協(xié)議引起的問題包括：

　　協(xié)議本身的問題：路由頭,、移動IPv6、站點(diǎn)范圍的多播地址,、ICMPv6,、任播流量、地址隱私擴(kuò)展與DDoS防御、動態(tài)DNS,、擴(kuò)展頭,、分片、鏈路本地地址和鄰居發(fā)現(xiàn),、安全路由通告,、多路由器負(fù)載分擔(dān)等；

　　使用嵌入IPv4地址的IPv6地址繞過防護(hù)問題,；

　　端到端透明性問題（無NAT）,；

　　將IPv6隱藏于IPv6隧道帶來的繞過安全檢查問題。

　?。?）過渡機(jī)制引起的問題包括：6to4隧道機(jī)制,、自動隧道和中繼、IPv6隧道可能會破壞IPv4網(wǎng)絡(luò)等,。

　?。?）IPv6部署引起的問題包括：缺乏安全保護(hù)的IPv6試運(yùn)行、DNS拒絕服務(wù),、尋址和安全路由,、多播地址、ICMPv6,、IPSec的傳輸模式,、設(shè)備缺少相關(guān)功能、鄰居發(fā)現(xiàn)代理等,。

　　2,、IPv6安全問題的特點(diǎn)

　　IPv6與IPv4并沒有太大的區(qū)別：它是無連接的網(wǎng)絡(luò)協(xié)議，使用與IPv4相同的下層服務(wù)并向上層提供相同的服務(wù),。因此,，除了下文所列舉的例外，IPv6和IPv4的安全問題和處置技術(shù)基本上大同小異,。

　?。?）IPv6并不比IPv4更安全

　　因?yàn)镮Pv6是新的協(xié)議，有些人就認(rèn)為IPv6天生就比IPv4更安全,。這種觀點(diǎn)大錯特錯,。事實(shí)上，作為一個新的協(xié)議,，很多實(shí)施過程中的bug還沒有被發(fā)現(xiàn)和修復(fù),，而且很少有人具備安全運(yùn)行IPv6網(wǎng)絡(luò)所需的專業(yè)安全知識。在部署IPv6的過程中,，最大的威脅就是專業(yè)操作知識的缺乏：因此我們需要不斷強(qiáng)調(diào)培訓(xùn)的重要性,。

　　關(guān)于IPv6的一個安全神話是：由于其巨大的地址空間,，無法通過枚舉/64子網(wǎng)中所有的IPv6地址來進(jìn)行網(wǎng)絡(luò)掃描，因此懷有惡意的人無法定位攻擊目標(biāo),。但是,，[RFC5157]描述了可用來尋找網(wǎng)絡(luò)上潛在目標(biāo)的替代技術(shù)，例如,，枚舉區(qū)域內(nèi)所有的DNS名稱,。[HOST-SCANNING]中也給出了有關(guān)這方面的其他做法。

　　另一個安全神話是：由于IPv6強(qiáng)制要求所有地方使用IPsec,，因此它更安全,。雖然最初的IPv6規(guī)范可能暗示了這一點(diǎn)，但[RFC6434]明確指出：并不強(qiáng)制性要求支持IPsec,。此外,，如果企業(yè)內(nèi)部的所有流量都被加密，那么不僅是惡意軟件,，那些依靠檢測有效載荷的安全工具（入侵防御系統(tǒng)（IPS）,、防火墻、訪問控制列表（ACL）,、IP流信息導(dǎo)出（IPFIX）（[RFC7011]和[RFC7012]）等）都會受到影響,。因此，IPv6中的IPsec與在IPv4中一樣有用（例如,，用于在非可信網(wǎng)絡(luò)上建立VPN通道，或?yàn)槟承┨囟☉?yīng)用預(yù)留）,。

　　最后一個安全神話是：因?yàn)椴辉儆袕V播,，因此在IPv6中不存在放大攻擊（如[SMURF]）。這種說法也是不準(zhǔn)確的,，因?yàn)槁酚善骱椭鳈C(jī)在轉(zhuǎn)發(fā)或接收組播消息時,，會產(chǎn)生ICMP錯誤（在某些情況下）或信息消息（見[RFC4443]的2.4節(jié)）。因此,，必須像IPv4一樣限制ICMPv6報文的生成和轉(zhuǎn)發(fā)速率,。

　　需要注意的是，在雙棧網(wǎng)絡(luò)中,，除了要考慮IPv4和IPv6共存時兩者之間交互及轉(zhuǎn)換的安全因素外,，還需要考慮兩者的安全實(shí)現(xiàn)。

　?。?）IPv6和IPv4安全的相似之處

　　如前所述,，IPv6與IPv4十分相似，因此,，有幾種攻擊同時適用于這兩個協(xié)議族,，包括：

　　應(yīng)用層攻擊：如跨站腳本或SQL注入,。

　　流氓設(shè)備：如流氓Wi-Fi接入點(diǎn)。

　　泛洪和所有基于流量的拒絕服務(wù)：包括對IPv6流量使用控制平面策略（見[RFC6192]）,。

　　舉例來說,，IPv6的唯一本地地址（ULA）[RFC4193]和IPv4的私有地址 [RFC1918]類似，它們并不能像“魔法”一樣提供安全性,。使用這兩種地址時,，邊緣路由器必須采用嚴(yán)格的過濾器來阻止這些私有地址進(jìn)入網(wǎng)絡(luò)，同時也要阻止它們離開網(wǎng)絡(luò),。這種過濾可以由企業(yè)來完成,，也可以由ISP來完成，但謹(jǐn)慎的管理員會傾向于在自己的企業(yè)中完成,。

　?。?）IPv6的特定安全問題

　　即使IPv6與IPv4類似，也存在一些差異會使IPv6產(chǎn)生特有的漏洞或問題,。在本節(jié)中,，我們將舉例說明這些差異。

　　隱私擴(kuò)展地址使安全人員或網(wǎng)絡(luò)運(yùn)營商想要追溯到其網(wǎng)絡(luò)中的主機(jī)日志記錄時,，很難跟蹤審計線索,。隱私擴(kuò)展地址[RFC4941]通常用于保護(hù)個人隱私，通過定期改變IPv6地址中的接口標(biāo)識符部分,，以避免由于64位擴(kuò)展唯一標(biāo)識符EUI-64（基于媒體訪問控制MAC地址）保持不變而導(dǎo)致主機(jī)被追蹤,。雖然在互聯(lián)網(wǎng)上這是算得上是優(yōu)點(diǎn)，但它也使安全人員或網(wǎng)絡(luò)運(yùn)營商想要追溯到其網(wǎng)絡(luò)中的主機(jī)日志記錄時,，很難跟蹤審計線索（即使前綴部分保持不變）：因?yàn)楫?dāng)跟蹤完成時,，搜索到的IPv6地址可能已經(jīng)從網(wǎng)絡(luò)中消失了。因此,，使用隱私擴(kuò)展地址通常需要對IPv6地址與MAC地址的綁定進(jìn)行額外的監(jiān)控和記錄（也可參見[IPv6-SECURITY]第2.5節(jié)中的監(jiān)控部分）,。為提供地址問責(zé)制，早期一些企業(yè)化部署采用了從交換機(jī)和路由器設(shè)備收集IP/MAC地址映射的方法,。盡管可能需要收集比同樣規(guī)模的IPv4網(wǎng)絡(luò)更多的地址數(shù)據(jù),，但這種方法也被證明卓有成效。另一種方法是通過強(qiáng)制使用DHCPv6來防止隱私擴(kuò)展地址,，這樣主機(jī)只能獲得DHCPv6服務(wù)器分配的地址,。這可以通過配置路由器（在RA中設(shè)置M位，搭配包含所有通告的前綴且不設(shè)置A位）來實(shí)現(xiàn)（防止使用無狀態(tài)自動配置）,。當(dāng)然,，這種技術(shù)要求所有主機(jī)都支持有狀態(tài)的DHCPv6。需要注意的是,，并不是所有的操作系統(tǒng)在處理帶有M位集合的RA時都表現(xiàn)出相同的行為,。由于鄰居發(fā)現(xiàn)協(xié)議（NDP）中缺乏相關(guān)對A,、M和O位的規(guī)范性定義，因此不同的操作系統(tǒng)行為各異,。[DHCPv6-SLAAC-PROBLEM]對M位和DHCPv6的交互作用進(jìn)行了更詳細(xì)的分析,。

　　擴(kuò)展頭使ACL等無狀態(tài)數(shù)據(jù)包過濾器的任務(wù)復(fù)雜化。如果使用ACL來執(zhí)行安全策略,，那么企業(yè)必須驗(yàn)證其ACL（也包括有狀態(tài)的防火墻）是否能夠處理擴(kuò)展頭（這意味著為了找到上層的有效負(fù)載,，需要完全理解協(xié)議并解析擴(kuò)展頭），并阻止不需要的擴(kuò)展頭（例如,，實(shí)現(xiàn)[RFC5095]）,。這個話題在[RFC7045]中有深入討論。

　　分片可能導(dǎo)致包過大“消不能過濾,，并用來逃避某些安全機(jī)制,。分片在IPv6中有所不同，因?yàn)樗挥稍粗鳈C(jī)完成,，而不發(fā)生在轉(zhuǎn)發(fā)操作期間,。這意味著必須允許ICMPv6的”包過大“消息通過網(wǎng)絡(luò)，而不能過濾[RFC4890],。分片也可以用來逃避一些安全機(jī)制,，如RA-Guard[RFC6105]。另見[RFC5722]和[RFC7113],。

　　IPv6引入的NDP同樣缺乏安全性,。 IPv4和IPv6之間最大的區(qū)別之一是后者引入了NDP[RFC4861]，包括各種重要的IPv6協(xié)議功能,，包括IPv4中由地址解析協(xié)議（ARP）[RFC0826]提供的功能,。NDP在ICMPv6上運(yùn)行（如上所述，這意味著安全策略必須允許某些ICMPv6報文通過,，如RFC 4890所述），但與ARP等一樣缺乏安全性,，因?yàn)槿狈?nèi)置的報文驗(yàn)證,。雖然已經(jīng)定義了安全鄰居發(fā)現(xiàn)（SEND）[RFC3971]和加密生成地址（CGA）[RFC3972]，但它們并沒有被廣泛實(shí)現(xiàn),。NDP套件中RA的威脅模型與DHCPv4（和DHCPv6）的威脅模型類似,，因此惡意主機(jī)可以是惡意路由器或惡意DHCP服務(wù)器。在邊緣交換機(jī)中借助DHCPv4 snooping技術(shù)可以使IPv4網(wǎng)絡(luò)更加安全,，同樣RA snooping也可以提高IPv6網(wǎng)絡(luò)的安全性（在純IPv4網(wǎng)絡(luò)中亦是如此）,。因此，對IPv4使用此類技術(shù)的企業(yè)應(yīng)該對IPv6使用等效的技術(shù),，包括RA-Guard[RFC6105]和源地址驗(yàn)證改進(jìn)（SAVI）工作組的所有正在進(jìn)行的工作（例如[RFC6959]）,，帶來的保護(hù)效果類似于IPv4中的動態(tài)ARP監(jiān)控,。其他拒絕服務(wù)漏洞與NDP緩存耗盡有關(guān)，處置技術(shù)可以在（[RFC6583]）中找到,。

　　如前所述,，運(yùn)行雙棧網(wǎng)絡(luò)會使攻擊風(fēng)險加倍，因?yàn)閻阂庹攥F(xiàn)在有兩個攻擊載體：IPv4和IPv6,。這意味著,，所有在雙棧環(huán)境中運(yùn)行的路由器和主機(jī)，如果啟用了兩個協(xié)議族（即使是默認(rèn)設(shè)定）,，則必須為兩個協(xié)議版本制定一致的安全策略,。例如：所有Web服務(wù)器開放TCP 80和443端口，并拒絕其他端口的連接,，這一點(diǎn)必須在IPv4和IPv6中同時實(shí)現(xiàn),。因此，管理員使用的工具需要支持這種操作,。

　　三,、部署IPv6的安全策略

　　顯然，IPv6網(wǎng)絡(luò)應(yīng)該以安全的方式部署,。關(guān)于IPv6安全部署,，除了聯(lián)邦指南之外，還有詳細(xì)的行業(yè)指南和最佳實(shí)踐文檔,。關(guān)于如何保障IPv6安全的知識庫已經(jīng)非常成熟,，但人們往往忽略了IPv6可以更有效地實(shí)現(xiàn)整體安全。例如,，那些使用IPv6尋址（這與網(wǎng)絡(luò)安全架構(gòu)密切相關(guān)）的組織發(fā)現(xiàn),，他們的安全配置復(fù)雜度顯著降低。

　　RFC7381討論了IPv6部署時應(yīng)采取的安全策略,。業(yè)界在IPv4的網(wǎng)絡(luò)安全方面已經(jīng)頗有心得,，網(wǎng)絡(luò)運(yùn)營商在部署IPv6時，應(yīng)該充分利用這些知識和經(jīng)驗(yàn),。

　　為了幫助聯(lián)邦政府獲得這些安全效益,，各機(jī)構(gòu)應(yīng)：

　　確保將生產(chǎn)環(huán)境全面支持IPv6納入IT安全計劃、架構(gòu)和采購中,。

　　確保所有支撐網(wǎng)絡(luò)運(yùn)行或企業(yè)安全服務(wù)的系統(tǒng)（如身份和訪問管理系統(tǒng),、防火墻和入侵檢測/保護(hù)系統(tǒng)、終端安全系統(tǒng),、安全事件管理系統(tǒng),、訪問控制和政策執(zhí)行系統(tǒng)、威脅情報和聲譽(yù)系統(tǒng)）都支持IPv6,，并能在純IPv6環(huán)境中運(yùn)行,。

　　酌情遵循相應(yīng)的聯(lián)邦指南,，并充分利用行業(yè)最佳實(shí)踐，確保IPv6網(wǎng)絡(luò)的安全部署和運(yùn)行,。

　　確保所有安全和隱私政策評估,、授權(quán)和監(jiān)測程序能夠充分解決聯(lián)邦信息系統(tǒng)中IPv6的生產(chǎn)使用問題。