在不影響既有IPv4正常運作下,加入啟用IPv6機制,目前較可行的方式是採Dual Stack的共存架構。防火牆身為在IT基礎架構中必備的安全設備,同樣必須擁有支援Dual Stack的能力,而Check Point在日前更新的GAiA作業系統版本R76更全面性支援IPv6。
Check Point技術顧問樂家富提到,其實Check Point防火牆支援IPv6已有多年時間。「由於Check Point是以物件為基礎的管理模式,過去版本的作法是IPv4與IPv6各有其控管規則(Rule),但是到了R76版本之後,最大的改善就是,單一控管規則可直接套用到IPv4與IPv6環境,例如同一份ACL(Access Control List),不需要再針對不同環境分別設定。」樂家富強調。
除了針對物件管理方面的改進以外,在應用程式方面的控管,也是R76版本的特色之一。「以往提到IPv6,較多屬於網路層的討論,但實際上只要設備的作業系統支援,即可對網路層進行控管,卻忽略了Layer7的應用程式控管。反觀R76版本不只是防火牆可支援IPv6,各個應用模組諸如IPS、Application Control、URL Filtering、Antivirus、Anti-Bot等,都已具備IPv6能力。」
 |
| ▲Check Point技術顧問樂家富認為目前只有在新興應用才會用到IPv6,例如新興國家地區,資訊基礎建設才正準備起飛,所剩不多的IPv4早已被資訊強國掌握,因此只能申請到IPv6位址。 |
只是樂家富觀察,這幾年會關注IPv6議題發展的產業仍舊只有ISP、教育、政府單位,一般企業大多缺乏測試應用的驅動力。當然全球IPv6的推動,都是由公部門領頭,再逐漸發酵至各個產業,但IPv6在台灣即使政府已開始啟用,企業端卻仍舊很安靜,目前用戶關注的焦點較多是在APT、DDoS等新型態駭客攻擊事件。
「老實說,企業評估的重點在於可回饋獲得效益的多寡,但IPv6目前仍缺少一個殺手級的應用,讓企業願意投資建置此環境。」樂家富說。其實IPv6殺手級應用出現,對IT人員的意義主要在於可藉此提出建議,可能為公司帶來效益。若是一些稍具規模的公司,IT人員或多或少會主動關注與了解IPv6的技術進展,因此一旦有相關應用產生,即可順勢向上提出導入IPv6應用的建議,高層管理會才比較容易接受。
因此基本上會需要IPv6的企業,大多是新設立的公司或據點。若是一般小型公司,較不仰賴IT系統,其實IPv4或IPv6並無差別;即使是該公司願意投資興建營運系統,由於是全新打造的IT環境,沒有過去的包袱,同樣不會因取得IPv6位址而困擾,只是普遍會遇到的問題是,管理IT的人,對IPv6的了解程度。「多數IT人員至今仍無法掌握IPv6相關的知識與技能,同樣也是停滯不前的因素之一。」樂家富說。