ipv6 如何保護內網安全

可溯源和防攻擊

IPv6的地址空間巨大，理論上不會再有IPv6地址短缺困境，也不需要廣泛使用NAT設備節省IPv6公網地址。IPv6終端之間可以直接建立點到點的連接，無需地址轉換，因此IPv6地址非常容易溯源。

IPv6地址分為64位的網絡前綴和64位的接口地址。一個64位的前綴地址支持64位的主機數量，攻擊者無法掃描一個IPv6網段內所有可能的主機。假設攻擊者以每秒掃描100萬個主機的速度掃描，大約50萬年左右才能遍歷一個64位前綴內所有的主機地址。64位的主機地址使得網絡掃描的難度和代價都大大增加，從而進一步防范了攻擊。

支持IPSec安全加密機制

IPv6協議中默認集成了IPSec安全功能，通過擴展認證報頭(AH)和封裝安全載荷報頭(ESP)實現加密和驗證功能。

AH協議實現數據完整性和數據源身份認證功能，ESP在上述功能基礎上增加安全加密功能。集成了IPSec的IPv6協議真正實現了端到端的安全，中間轉發設備只需要對帶有IPSec擴展包頭的報文進行普通轉發，而不對IPSec擴展包頭進行處理，大大減輕轉發壓力。

NDP和SEND的安全增強

在IPv6協議中，采用鄰居發現協議(NDP)取代現有IPv4中的ARP及部分ICMP控制功能。NDP協議通過在節點之間交換ICMPv6信息報文和差錯報文實現鏈路層地址及路由發現、地址自動配置等功能，并且通過維護鄰居可達狀態來加強通信的健壯性。

NDP協議獨立于傳輸介質，可以更方便地進行功能擴展。現有的IPv6協議層加密認證機制可以實現對NDP協議的保護。IPv6的安全鄰居發現協議(SEND)協議是NDP的一個安全擴展，SEND的目的是提供一種備用機制，通過獨立于IPSec的另一種加密方式保護NDP，保證了傳輸的安全性。

真實源地址驗證體系

真實源IPv6地址驗證體系結構(SAVA)分為接入網(Access Network)、區域內(Intra-AS)和區域間(Inter-AS)源地址驗證三個層次，從主機IP 地址、IP 地址前綴和自治域三個粒度構成多重監控防御體系。該體系不但可以有效阻止仿冒源地址類攻擊，還能夠通過監控流量來實現基于真實源地址的計費和網管。

回答所涉及的環境：聯想天逸510S、Windows 10。