仅限 IPv6：

• 无限大小的标头链会使过滤变得困难。
• IPsec 不是灵丹妙药：
  • IPv6 强制实施 IPsec
  • IPv6 不需要使用 IPsec
  • 一些组织认为应该使用 IPsec 来保护所有流：
    • 有趣的可扩展性问题
    • 需要信任端点和最终用户，因为网络无法保护流量：没有 IPS、没有 ACL、没有防火墙
    • 网络遥测被蒙蔽了
    • 网络服务受阻
• 我建议不要在管理域中使用端到端 IPsec，而是将其用于住宅、敌对环境或高知名度目标。

具有强烈 IPv4 相似性的 IPv6 攻击：

• 嗅探
  • 没有 IPSec，IPWithout IPSec，IPv6 成为嗅探攻击的受害者的可能性不亚于 IPv4
• 应用层攻击
  • 即使使用 IPSec，当今 Internet 上的大多数漏洞都在应用层，IPSec 无法阻止这些漏洞
• 流氓设备
  • 流氓设备将像在 IPv4 中一样容易插入 IPv6 网络
• 中间人攻击 (MITM)
  • 如果没有 IPSec，任何利用 MITM 的攻击在 IPv6 中的可能性与在 IPv4 中的可能性相同
• 洪水
  • IPv4 和 IPv6 之间的泛洪攻击相同

IPv4 和 IPv6 双栈（如您所述）：

• 应用程序可能会受到 IPv6 和 IPv4（最弱链接）的攻击
• 安全控制应阻止和检查来自两个 IP 版本的流量

许多站点在其网络内使用私有地址，并且路由器运行 NAT，因此传出连接是可行的。NAT 事物在构造上意味着与防火墙相同的效果，它会阻止任何来自外部世界的传入连接到内部网络中的一台机器。

当您启用 IPv6 时，内部机器变为外部可见。因此，在启用 IPv6之前，您最好在防火墙上设置基线过滤规则。想想一个未打补丁的旧 Windows 系统，它充满了可远程利用的漏洞，只要它只是简单地位于内部网络中而不与整个 Internet 进行任何网络活动（例如，一个仅用于连接到某个 Intranet 的工作站），它是无害的。

这并不是真正的 IPv6 的错。正是 IPv6 被设计成不会出现地址短缺，因此不需要 NAT。我相信 IPv6 部署中将出现的大多数安全问题都将遵循这种模式：IPv6 消除了 NAT 的“固有防火墙”效应，从而发现了许多易受攻击的主机。在某种程度上，这与 WiFi 的出现是一样的，它消除了普通电线固有的物理安全性。

我看到了一篇关于这个主题的最新论文：CPNI VIEWPOINT - SECURITY IMPLICATIONS OF IPv6 - MARCH 2011。它提出的要点是许多新技术所共有的风险：

• 不如 IPv4 成熟，因此可能有更多错误
• 对安全产品的支持较少
• 更复杂 => 更大的攻击面，尤其是对于双栈环境
• 支持人员不太熟悉

因此，在部署 IPv6 之前，您应该花时间熟悉该技术，与精明的供应商合作，并制定解决这些问题的计划。

该报告对例如无 NAT 选项进行了更多讨论。

对于精通 IPv6 的安全人员来说，这听起来像是一个很好的市场。（好像没有其他机会一样......）