由于北美市场的可用IPv4地址已经在2015年9月耗尽，企业越来越迫切需要支持IPv6连接，至少在连接互联网的服务上要支持。

美国互联网网络号码注册中心主席及CEO John Curran从1993年开始参与新版互联网协议IPv6的设计与部署工作。

Curran反对Paul Vixie的观点“现在安装IPv6没有任何好处”。根据Curran的观点，虽然IPv6并不一定会直接带来安全好处，但是IPv6连接能够解决它设计之初要解决的问题：IPv4地址空间业已耗尽。

你在过去曾经说过“IPv6比IPv4更安全”，这就像是在说“小汽车比卡车安全，又或者相反。”那么IPv6连接到底对于企业安全性有什么重要影响呢？

John Curran：现在要清楚最重要的一个问题是，IPv6确实可能比IPv4更安全，但是注意只是可能。协议只是工具，因此结果如何取决于使用工具的方法。

在这个问题上，IPv6确实有一定的优势，IPv6标准已经在IPv6配置上规定了加密和验证头信息。因此，只要没有专门去改写它，而且供应商没有添加一个改写的配置，IPsec功能就是默认开启的。最终你可以获得更安全的通信方式，因为有可能另一端支持比IPsec协议更高级的加密方式。

因此，尽管你已经获得这个功能了，但我并不会对人说‘部署IPv6会更安全，’因为这并不是发明IPv6的初衷。IPv6的出现并不是为了解决这一问题的。它要解决的问题是IPv4地址已经耗尽，同时全球互联网仍在增长。因此，IPv6解决的是这个问题，同时也希望它不会加剧安全问题，同时如果人们部署得当，它还有可能实现更好的安全性。

你已经通过IPsec实现了加密和验证，但它们只是可选设置。这让我想起了SSL和TLS的问题，这些协议支持向后兼容，可以降级到安全性没那么高的安全协议，如RC4。但是，这会不会成为采用IPv6的一个问题呢，因为IPsec在IPv6中是可选的？

Curran：当然。它具有相同的挑战和风险。很难有一种方法使网络本身变得更安全，因为你可以指定一种协议，但最终是其他人去部署这个协议。有一些供应商会自己修改协议的特性，这种情况已经发生过很多次了。即使标准要求安全性，但这并不意味着实际实现就一定是符合标准的。

我认为，任何人都不应该相信启用IPv6就能够让它们本身变得更加安全。我认为，启用IPv6能够让它们保持技术和解决最重要的问题。此外，我认为启用IPv6在很多时候都能够提高网络性能，但是很多人还没有认识到这一点。

如果企业决定直接不提供其服务器和网站的IPv6连接，跟踪用户及流量的功能会受到怎样的影响？

Curran：目前有一些公开网站仍然有在使用IPv4连接的用户，他们没有IPv6。因此，你有一个网站，网站对应一个域名，它有IPv4地址和IPv4连接，但并没有IPv6地址或IPv6连接。

对于互联网而言，你只能通过IPv4访问，但是有一些移动网络已转为IPv6。它们已经完成迁移。为了访问你的网络，即使本地基站是IPv6，且手机使用IPv6连接基站，同时你的网站也在同一个城市，甚至有可能在同一个网络，当我尝试访问你的IPv4网站时，我还是必须先连接到另一个城市，因为你的IPv4网络对我而言是不可见的，需要先转换为IPv6才能访问。因为你并没有转换到IPv6，所以要由运营商来转换，我访问你的域名将返回一个IPv6地址，因为尽管你的网络不支持IPv6，运营商的网络是只支持IPv6的。

我将会连接到一个数据中心，由它将我的IPv6 HTTP请求映射到IPv4，然后再返回结果。这个过程可能经过了很长距离：甚至可能到了另一个国家。因此，如果你不修改，其他人也会将网络修改为IPv6，然后你必然发现它会对性能产生重大影响。

这个问题现在就已经在发生着：我有一些朋友在Facebook和LinkedIn工作，他们都告诉我公司的服务在IPv6上要比IPv4快，其中一个原因是因为运营商网络已经在移动端迁移至IPv6。

有时候好像我们必须在一些互联网角落一直保留IPv4，就像有人仍然在使用Windows 95一样。

Curran：Peter，你现在还在用着IPX（互联网数据包交换）、DECnet或SNA（系统网络架构）吗？是这样，我敢肯定世界上某个角落一定还运行着这些东西。那么，世界某个角落是否还运行着IPv4呢？肯定的。它会不会成为讨论焦点呢？按道理说，肯定不会的。

我们聊一下网络地址转换（NAT）和IPv6。IPv6链路本地寻址是否会替代NAT的功能。NAT的未来发展是怎么样的？

Curran：首先，现在确实有很多地方部署着用于转换地址的NAT。因此，如果你的设备只支持IPv6，那么显然你一定要通过NAT才能连接IPv4，因为这里需要用到地址转换。

另外，肯定也有IPv4到IPv4的转换，因为如果你在一个包含私有地址的大型网络中，然后又需要连接互联网，那么这时就要用到IPv4到IPv4的NAT，许多家庭宽带网络就是这种情况。人们使用NAT是因为他们只有一个地址，然后他们又有200个人要连网。

那么，我们要知道NAT的特性。我甚至认为要有一个NAT IPv6标准，但我承认我自己并没有花很多时间去研究这个问题。

这里有一个问题：NAT并不包含安全功能。

它可能带来一些方便的管理特性；它不一定对性能有影响，还要取决于它的实现方式和负载；但是只要我们知道NAT不包含安全功能，那么所有答案都一样：它不支持IPv4安全性，也不支持IPv6安全性。它可能会让人觉得方便一些，但实际上让人方便并不等于保证安全。

最后，你仍然需要一个防火墙。你需要用一个防火墙检查协议和数据包，再决定是否允许数据包进入。如果使用了NAT，仍然需要一个防火墙。没有人会说有NAT之后不需要防火墙也能够保护网络。

马匹蒙上眼睛之后会跑得更快，但是它们看不见路。NAT就是这样的东西：它让人感觉良好，但是它不一定能够改变问题。

请继续阅读《专访John Curran：我们谈谈IPv6连接的安全性（下）》