任何事情都具有两面性，有一利往往也必有一弊。就像IPv6，它为互联网带来了几乎无限的IP地址资源的同时，也改变了互联网的安全环境，让更大的风险随之而至。

　　从当前所获取的一些网络攻击事件的信息来看，尽管IPv4向IPv6的过渡才刚刚开始，但一些攻击者却已经开始通过IPv6的基础设施散布垃圾邮件，甚至利用IPv6的地址空间向IPv4网络发起攻击。

　　“看上去很美”的IPv6是否存在更大的安全黑洞?在热情迎接IPv6的同时，我们是否看到了藏匿在过渡过程中的安全隐患?人们在IPv4环境中积累的安全经验是否也适用于IPv6?

　　通过“认证”就够了吗

　　三年前，一则关于“Windows Vista系统中所包含的Teredo技术存在潜在安全隐患”的消息，就曾暴露出一些IPv4向IPv6过渡中面临的安全问题。Teredo是一项地址分配和自动隧道技术，它能通过IPv4网络传递IPv6流量，帮助客户端实现对IPv4与IPv6协议的兼容。当时就有安全专家指出，Teredo客户端可以在把IPv6数据包传递到另一目的地的同时，绕过基于网络的源路由控制，穿透防火墙等安全设备，而在Vista系统下该功能还被默认启用，这种技术所形成的安全漏洞很容易被黑客所利用。由于当时没有任何系统能够有效过滤所有的Teredo数据包，专家只能建议网络管理员先禁用Teredo功能，并倡议防火墙、入侵检测系统和路由器等厂商增加对Teredo协议的支持，以确保常规的网络安全产品能够过滤所有的Teredo数据包。

　　事实上，“Teredo事件”只是IPv6所带来的安全隐患的一个缩影。因为三年过后，Teredo的问题还没有被完全解决，大量类似的过渡技术却开始被更广泛地使用(如6to4、SIT机制及基于IPv6的UDP通信等标准过渡方式)，并且使用这些技术的相关产品还纷纷通过了IPv6认证。这种状况，不免让记者对当前大批挂着IPv6认证标志的网络安全产品的真实效果感到担忧。

　　Radware 安全产品总监Ron Meyran告诉记者，虽然目前不少厂商都宣称自己拥有通过了IPv6认证的安全产品，但事实上许多厂商只是提供了一个特别的版本，仅是能够支持与IPv6网络通信的能力或依靠某个License运行，并不意味着这些产品能够有效解决IPv6带来的安全问题。甚至很多安全产品在处理类似Teredo的问题时，不是存在局限性就是彻底无效。

　　他表示，即使是对于某些通过认证的安全设备，企业也要慎重选择。在不了解它们的运作机制前，不能盲目采购。比如，企业依旧需要检测防火墙是否可以让一些未经检查的IPv6流量轻松通过，而不是将其视为非IPv6应用版加以拦截、检查;IPv6流量是否可以绕过多个深层数据包引擎的硬件组件等。此外，由于IPv6地址的长度是IPv4的4倍，会因此显着影响网络安全产品的流量处理速度。这个特点，也可以帮助大家判断出相关安全产品支持IPv6的真伪。