《IPv6安全》——2.5 小结

本节书摘来异步社区《ipv6安全》一书中的第2章，第2.5节，作者：【美】scott hogg , eric vyncke，更多章节内容可以访问云栖社区“异步社区”公众号查看

ipv6安全

为了保障ipv6协议及其所支持的上层协议的安全，您应该熟悉ipv6协议及其结构。理解协议的结构可帮助您理解如何保障通信的安全。

在防止合法流量被阻止的同时，您也必须努力允许正确的icmpv6数据包得以通过。您不能像过滤ipv4 icmp数据包那样，盲目地过滤掉所有的icmpv6流量。

多播与ipv6的紧密集成也添加了保障ipv6安全的复杂性。但是，在有关该协议及其如何工作的知识的武装下，要保障您的ipv6网络安全，您就可以做出更好的选择。

您必须考虑ipv6扩展首部如何影响系统的安全，以及攻击者如何利用这些扩展首部。为了正确地保障ipv6网络的安全，您必须有设备可用来分析一个数据包中的扩展首部，并确定攻击是否隐藏在这些首部中。过滤特定类型的扩展首部可增加您的环境的安全性。

虽然相比ipv4，ipv6给出了多得多的地址空间，但对于攻击者来说，勘察仍然是重要的和可行的。您应该尽力使用随机的节点标识符，从而使对节点执行扫描变得困难。

您可精心伪造数据包，事实上存在可帮助攻击者产生攻击的软件。正像ipv4数据包可被伪造一样（spoof），也可伪造ipv6数据包。节点具有多个ipv6地址的事实增加了安全挑战。