通过翻译设备可以实现IPv6网络与IPv4网络的双向互访？

什么是IPV6？

其实，IPv6并不是一个新鲜事物。早在上个世纪90年代，它就已经诞生了。我相信，从事IT或通信相关工作的人，或多或少听说过它。

IPv6的全称是Internet Protocol version 6。其中，Internet Protocol译为“互联网协议”。所以，IPv6就是互联网协议第6版。

众所周知，互联网上的每一台电脑，必须有一个地址，才能被其他互联网上的计算机访问，之前唱衰IPv4的原因，就是因为IPv4的数量早就不够了。

IPv4到底一共有多少个IP地址呢？答案是2的32次方，也就是约42.9亿个。

根据互联网数据研究机构（2018年1月）的统计，全世界76亿人口，网民总数已经超过了40亿。

IPv6网络真的安全吗？

一、IPv6的信息安全隐患

当前，“线上”网络和“线下”生活正在深度融合，虚拟网络世界和现实社会生活相互交织。人们在互联网上变成了“透明人”，个人的一举一动都被互联网“记录在案”，试想一下如果这些信息被非法使用，是不是很恐怖？

构建基于IPv6的可信任下一代互联网，是一项长期而艰巨的任务。虽然IPv6与IPv4相比，在安全性方面进行了预先设计和充分考虑，但仍然存在一些难以解决的安全隐患。

一是难以应对拒绝服务攻击。拒绝服务攻击仍然是IPv6面临的最严重的一种攻击，它可能导致计算机硬盘、物理设备毁坏和所有可用内存耗尽的危险。IPv6支持动态自动寻址，虽然给合法网络用户使用带来了方便，但非授权的用户可以更容易地接入和使用网络，埋下了拒绝服务攻击的隐患。拒绝服务攻击主要包括两种方式：一种是通过向服务器或主机发送大量数据包，使得主机忙于处理这些无用的数据包而无法响应有用的信息；另一种是对网络上两个节点之间的通信直接进行干扰，攻击者可以冒充通信节点向目标通信节点发送错误消息，从而造成路由迂回，导致网络带宽浪费及时延增加。对这两种方式，IPv6从技术上都没有很好地解决。

二是难以弥补整个网络协议族的安全缺陷。根据国际标准化组织提出的各种计算机在世界范围内互联成网的标准框架，即开放系统互联参考模型，计算机网络分为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层等七个功能层。IP协议只是网络层的协议，其安全性设计得再好，也只能保证本功能层的安全，其他功能层如应用层的网页服务、邮件服务及文件传输等服务的安全仍然难以保证。

二、继承自IPv4的安全威胁

1.IPv6中协议和报文结构虽有变化，但一些存在于IPv4网络中的攻击类型仍然存在。

2.过渡机制存在的安全风险

当前我国IPv6规模部署工作呈现加速发展态势，在从IPv4向IPv6过渡的过程中，“双栈”、“隧道”、“翻译”是三种采用的方案，均可能引入新的安全威胁。

双栈机制安全风险

IPv4/IPv6双栈技术是指在网络节点上同时运行IPv4和IPv6两种协议，在IP网络中形成逻辑上相互独立的两张网络：IPv4网络和IPv6网络。

过渡期间同时运行着IPv4、IPv6两个逻辑网络，增加了设备及系统的暴露面，也意味着防火墙、安全网关等防护设备需同时配置双栈策略，导致策略管理复杂度加倍，防护被穿透的机会加倍。

在IPv4网络中，部分操作系统缺省启动了IPv6自动地址配置功能，使得IPv4网络中存在隐蔽的IPv6通道，但由于该IPv6通道并没有进行防护配置，攻击者可能利用IPv6通道实施攻击。

双栈系统同时运行IPv4协议、IPv6协议，会增加网络节点协议处理复杂性和数据转发负担，导致网络节点的故障率增加。

隧道机制安全风险

一些隧道机制对任何来源的数据包只进行简单的封装和解封，所以各种隧道机制的引入，为网络环境增添了安全隐患。

不对IPv4和IPv6地址的关系做检查。攻击者利用隧道机制，可将IPv6报文封装成IPv4报文进行传输，由于IPv4网络无法验证源地址的真实性，攻击者可以伪造隧道报文注入到目的网络中。

不对隧道封装的内容进行检查，通过隧道封装攻击报文。对于以隧道形式传输的IPv6流量，很多网络设备直接转发或者只做简单的检查。攻击者可以配置IPv4 over IPv6，将IPv4流量封装在IPv6报文中，导致原来IPv4网络的攻击流量经由IPv6的“掩护”后穿越防护造成威胁。

翻译机制安全风险

翻译机制（即协议转换）通过IPv6与IPv4的网络地址与协议转换，实现了IPv6网络与IPv4网络的双向互访。翻译设备作为IPv6网络与IPv4网路的互连节点，易成为安全瓶颈，一旦被攻击可能导致网络瘫痪。

三、IPv6特有的安全威胁

IPv6报文结构中引入的新字段（如流标签、RH0、路由头等）、IPv6协议族中引入的新协议（如NDP邻居发现协议等）可能存在漏洞，被用于发起嗅探、DoS等攻击。

IPv6新的应用也可能带来安全风险。IPv6使用IPSec，使得防火墙过滤变得困难，防火墙需要解析隧道信息。如果使用ESP加密，三层以上的信息都是不可见的，控制难度大大增加，需要安全设备能够识别出攻击报文新方法和措施。

写在最后

IPv6并不能解决所有的网络安全问题。

所以仍然需要专业的信息风险管理人员进行把控，报名加入中国注册风险管理师协会，学习风险管理实操内容，从最基础开始教会你如何做好信息风险管理。
责任编辑:pj