推进IPv6规模部署，既要实现基础网络和业务系统的平滑升级，又要保障演进过程的安全、稳定和可靠。IPv6升级改造是一项系统工程，在漫长的过渡期间将会面临许多安全威胁，需要能够提前识别各项风险并构建安全防护体系，确保IPv6平滑演进过渡。

一、SLAAC地址分配

无状态地址自动配置（Stateless address autoconfiguration，SLAAC）是一种自动分配IPv6地址的方法，能够在不依赖DHCP服务的情况下实现IPv6地址动态配置，降低IPv6网络部署的复杂性和难度。在SLAAC中，终端主机基于从路由器接收到的网络前缀配置自己的IPv6地址，这个地址包含终端的MAC地址，由此可以对外暴露网卡ID、设备厂商、设备型号等敏感的主机身份信息，带来严重的安全风险。

防护措施：建议通过DHCPv6服务器为主机分配IPv6地址，以降低SLAAC造成的安全隐私风险。DHCPv6服务器提供多种灵活的地址分配策略，可以按照顺序分配、随机分配、特定编码分配等策略，为终端主机分配“纯净”的IPv6地址，全面杜绝通过接口ID暴露隐私信息的安全问题。

二、自动隧道技术

隧道是一种网络转换技术，它允许一种协议通过另一种协议报文进行传输。例如，隧道可以用来在IPv4报文中传输IPv6报文。在实际应用场景中，一些设备或应用程序可能被设计为对IPv6流量进行隧道传输，当客户端连接到服务器时，系统会自动建立IPv6隧道，可能导致不必要的网络接入点，造成安全风险。

防护措施：建议尽量避免构建隧道以减少网络复杂性和安全攻击面。在网络设备和主机操作系统中，禁用IPv6相关自动隧道协议（如6to4，ISATAP，Teredo等）。如果在IPv6过渡期间需要使用隧道协议，应该被严格限制在被认可的系统和网络环境中，并且确保相关隧道配置满足IPv6安全防护要求。

三、双栈网络环境

双栈是指一台设备同时运行IPv4和IPv6协议，这是现阶段推进IPv6规模部署的首选过渡技术方案，适用于网络、应用、终端、安全等不同领域的IPv6升级改造。不过，在简单便捷的同时风险也随之而来，双栈会增加网络复杂性，扩大安全攻击面。在部署双栈的过程中（特别是部署前期），往往会忽略IPv6网络平面的运维管理和安全防护，让攻击者可以绕过原有IPv4的防护机制，让IPv6成为网络攻击的“突破口”。

防护措施：在部署双栈网络时，建议同步构建IPv6安全防护机制，达到与IPv4机制相当的防护等级或者更好。对于现网已经实现的任何IPv4安全机制，都应实现相应的IPv6安全机制，如防火墙策略、防DDoS攻击等。同时，需要构建自动化的IP地址管理平台，降低双栈网络运维管理的复杂性，增强可视度和安全防御能力。

四、单设备多地址配置

与IPv4不同，IPv6可以为一个设备接口分配多个网络地址，多个地址往往比单个地址有更大的安全攻击面。因此，为了实现网络安全防护，生成更多、更精细的过滤规则或者访问控制列表（ACL）是一个艰巨的挑战，此外还需要防火墙以及中间安全设备知道所有的IPv6地址才能实现有效的安全策略配置。

防护措施：建议仔细配置网络的ACL过滤策略，确保默认拒绝所有入向访问流量，只有经过授权的源地址流量才被允许通过防火墙和其他安全设备。此外，通过安全设备联动可视化的IP地址管理平台，确保所有的地址和流量行为记录在案，并定期检查日志及时发现潜在的安全威胁。

连星科技是一家专业的IPv6产品和解决方案厂商，专注于打造智能、创新、安全的下一代互联网支撑平台。作为国家IPv6发展监测平台的核心技术支撑方，连星科技长期投入于IPv6、安全等领域的技术研发，推出IPAM+数据资产治理平台、IPv6监测平台等创新性产品和解决方案。在“IPv6规模部署”战略引导下，连星科技将依托自身实践及技术积累，为更多行业客户提供IPv6+安全融合解决方案，以“让IPv6代际升迁更简单”为公司核心使命，全面助力各行业IPv6规模部署应用及落地。