2013年8月，国家发展改革委于发布了“关于开展国家下一代互联网示范城市建设工作的通知”的文件，同时公布了下一代互联网建设的试点城市、工作方案和考核体系。IPv6网络商用建设的大幕正式开启，大规模的IPv6网络迁移改造工程即将在全国各地开启。如何使当前互联网业务平滑、安全地迁移到下一代互联网，成为政府、网络运营商、企业和用户共同关注的问题。早在下一代互联网大浪潮到来之前，天融信公司通过产品、技术上不断积累，持续加大在网络安全、应用安全、内容安全等方面的研究投入，集中骨干力量研发出适用于下一代互联网的安全设备。

天融信网关产品线全线产品通过全球IPv6 Forum 组织授权的IPv6 Ready 金牌认证，至此天融信成为国内第一家全线网关安全产品通过IPv6领域顶级认证的安全设备供应商，表明天融信已具备为IPv6网络改造和建设提供网络安全整体解决方案的能力。天融信可以为IPv6网络建设提供通过IPv6 Ready金牌认证的TopGate系列UTM产品、NGFW4000/NGFW4000-UF系列防火墙产品、TopVPN系列VPN产品、TopIDP系列IDP产品和TopFilter系列病毒过滤网关产品，为用户提供完整的边界网络安全解决方案。

1、国内IPv6网络改造及面临的安全问题随着IPv4网络逐步向IPv6网络过渡，过渡过程中的安全问题不容忽视，其中面临的最主要问题是服务平滑迁移和新的安全威胁防护：

恶意的IPv6流氓路由通告（RA）

对传统的IPv4防火墙来说，默认情况下IPv6流量是被忽略的，此时攻击者可以通过发送IPv6 RA增加恶意的IPv6路由，使得IPv4网络内的主机与恶意IPv6路由一起构建一个IPv6网络，攻击者通过这个未经授权的IPv6网络执行一些探测、扫描行为，可以从容选择攻击对象、设计攻击方案，这为现有IPv4网络带来巨大的安全风险；另外IPv6终端获取IPv6地址的方式之一是通过接收IPv6网络中的IPv6路由器公告的RA来生成，攻击者可以在链路上公布恶意的IPv6 RA，IPv6客户端收到RA后生成IPv6地址，并将默认路由指向攻击者发布恶意IPv6 RA的恶意主机。这样，攻击者既可以获知链路上各IPv6客户端的在线情况，也可截获、分流、镜像流量非法获得数据导致信息泄露。对于特定的IPv6主机，攻击者还可以发起针对网络、系统和应用服务DoS攻击。

VPN Bypass安全问题

在IPv4/IPv6的网络环境中，都存在VPN Bypass的安全问题。所谓VPN BYPASS就是VPN加密通道被绕过，数据不通过IP层和应用层加密数据来传输，数据在网络上的传输是明文的。通常来说，通过IPv4创建的IPsec VPN通道，仅对一定范围内的IPv4流量做加密传输，所有的IPv6流量都是明文传输的，某些服务在IPv6启用的情况下优先使用IPv6协议传输，这时数据传输的机密性和完整性被破坏；同理，通过IPv6创建的IPsec VPN通道只会加密IPv6流量，对于IPv4流量来说也将暴露在嗅探者的攻击范围内。VPN技术特点决定了当前VPN解决方案面临的VPN Bypass安全问题。

通过IPv6传输的病毒、恶意代码和木马

在内容安全方面，IPv6网络面临和IPv4网络一样的问题——数据泄露、数据篡改、病毒威胁等等。IPv6协议的使用并没有改变主机面临的数据安全问题，病毒程序、恶意代码、木马程序仍然可以通过IPv6协议传输。随着IPv6网络逐渐成熟，针对终端主机的各种恶意程序也会演进自己的传播方式，通过IPv6协议作为IP层的传输媒介。