通信世界网讯(CWW) 2012年3月，根据党中央、国务院关于从战略高度重视下一代互联网发展的精神，发改委、工信部等七部委联合下发了《下一代互联网“十二五”发展建设的意见》，从国家政策层面推动加速我国IPv6下一代互联网发展，明确提出现网商用试点阶段(2013 年底前)，开展IPv6 网络小规模商用试点，形成成熟的商业模式和技术演进路线。并且强调中国教育网(CERNET)和中国科技网(CSTNET)全部支持IPv6，“211”工程学校外网网站系统全部满足IPv6访问。

从2003年我国已经开始组织实施基于IPv6的下一代互联网应用示范工程(CNGI)，由教育部管理的全国学术网络第二代中国教育和科研计算机网CERNET2是CNGI项目的重要组成，也是目前全球最大的IPv6单栈网络，覆盖了清华大学、北京大学、同济大学等全国上百所高校，IPv6用户规模超过200万。然而如何解决IPv6安全问题便成为高校网络下一阶段新的挑战。正如下一代互联网“十二五”发展建设的意见》明确提出的，要求加强网络与信息安全保障工作，全面提升下一代互联网安全性和可信性。

当前的校园网已经存在很多安全问题，包括各种网络攻击与入侵、病毒泛滥、僵尸主机等等，校园网在部署、使用IPv4与IPv6双栈网络之后，那么势必面临IPv4与IPv6双重威胁和隐患，在享受双栈资源的同时，也潜在的为安全风险打开了两条道路。由于IPv4与IPv6网络的主要区别是在于所使用的基础IP承载协议不同，而应用层的各种业务与功能并没有进行任何改变，于是针对应用层的攻击、入侵、病毒以及安全风险出现、发生的条件和概率与IPv4网络并无较大差异。因此，即便是校园网的IPv4安全防护措施能够做到天衣无缝，此时如果无任何IPv6安全部署，就如同只关闭了家中的前门，而后门的疏漏却给窃贼留下了可称之机。

此外，高校IPv6网络除了要达到IPv4网络安全防护能力之外，在IPv4向IPv6的演进过程中，还需要特别注意各种过渡技术与方案的安全隐患。由于在共存时期，IPv4网络与IPv6网络同时存在，且有互通需求，这就要求来自两种不同IP协议网络的威胁不能够交叉感染。对于所选择部署的各种主流过渡技术（隧道和翻译技术），由于尚无成熟的使用经验，因此很可能也会存在潜在的安全风险。

隧道技术是对报文进行一层封装。隧道报文在经过防火墙等网络安全设备时，如果需要被检查与过滤，那网络安全技术就得支持各种新的隧道协议，能够对隧道进行解封装，而后才能对内嵌报文进行处理。在建立各种隧道的时候，对隧道对端的认证也就十分必要，否则，所建立的隧道就不可靠，会被黑客和攻击者利用，成为进入校园网的通路。而在利用翻译技术将IPv6与IPv4网络进行互联互通时，如IVI和NAT64技术，要改变报文的IP层及传输层的相关信息，这样会对端到端的安全产生影响。同时，翻译设备作为网络互通的关键节点，会成为DDoS攻击的主要目标，一旦自身的IPv4公网地址资源被恶意消耗，将影响校园网的正常运行。

对于CNGI及CERNET2网络建设，华为公司一直参与其中，已经部署了一定规模的IPv6路由器和交换机。在网络安全上，从2008年开始华为公司就投入IPv6防火墙等设备的预研和研发，为IPv6下一代互联网的商用做了充分准备。2010年，华为USG9000系列安全网关成为国内首个获得IPv6 Ready金牌第二阶段增强认证的安全产品，具备了IPv4与IPv6双栈防火墙功能，即使同时开启双栈防护也不会对性能造成任何损失。由于支持了多种主流的IPv6过渡技术，USG9000系列安全网关可以对通过隧道封装的报文进行拆解，对内、外层进行两次检查，确认合法性后再进行转发。并且，USG9000系列安全网关能够提供IPv6 DDoS攻击防范能力，可以避免自身成为DDoS攻击的目标，进一步保证了用户网络和业务的稳定。除了与IPv4下类似的安全功能外，USG9000系列安全网关还支持如CGA、SEND等IPv6特有的安全机制，已经完全能够满足商用部署的主要需求。