面对IPv6安全问题，如何应对？

IPv4网络协议没有任何的安全设计，基于此，IPv6网络协议在设计之初就对安全进行了周密性的考虑，内嵌了IPsec，以解决通信设备之间安全通信的标准化、互操作问题，从而确保端到端的通信安全，实现“深度防护”的安全策略。IPv6采用的两项关键措施进行安全加强：认证和私有性。

认证要求接收端中能存放发送端的信息，如果接收端无法识别发送端，则无法进行信息传输；如果可以进行通信，则需保证信息是由指定发送端发送的，同时信息在传输过程中没有被其他用户更改。私有性则要求发送的信息必须被加密，接收端必须是授权的，这样就能很好地防止信息被未授权的用户窃取。同时IPv6地址的长度的优势也使得扫描和攻击变得困难无比，据测算，一个10M/s的网络速度要遍历扫描IPv6网络地址，需要约五万年的时间。

IPv4和IPv6的常见网络层攻击如下表：

虽然IPv6在安全上有较大改进，但针对大多是网络层的攻击，并没有解决，IPv6数据包默认情况下还是未加密和校验的，因此监听和篡改依然是存在的。IPv6也支持分片，但较IPv4有大幅改进，甚至有避免分片的机制，但对于恶意攻击者依旧会利用这一特性进行分片攻击。源地址欺骗和Dos攻击是超出网络层的安全问题，即便在IPv6协议里也无法解决，在现有的机制下，两者没有特别好的方案，唯一的解决途径是足够的网络硬件资源和雄厚的资金。

而针对IPv6的安全问题，阿姆瑞特下一代防火墙使用基于状态机状态检测的安全机制实现IPv6的安全控制和过滤，其原理类似于与IPv4，配置方法是在策略里添加相应的基于传统五元组的访问控制列表，并结合FQDN、地理位置区域等高级过滤选项实现高级ACL访问控制列表。