既存のネットワークに IPv6 を導入する場合は、サイトのセキュリティーを危険にさらすことのないようにするために必要な予防策を講じる必要があります。
IPv6 を導入するときには、次のセキュリティーの問題点に注意してください。
IPv6 パケットと IPv4 パケットには、両方とも、同じ量のフィルタリンクが必要です。
IPv6 パケットは頻繁にファイアウォールにトンネルを開けます。
したがって、次のシナリオのどちらかを実装する必要があります。
ファイアウォールでトンネル内部のコンテンツ検査が実行されるようにすること。
トンネルの反対側にあるエンドポイントでも、同じような規則の IPv6 ファイアウォールを設置すること。
IPv6 over User Datagram Protocol (UDP) および User Datagram Protocol (UDP) over IPv4 トンネルを使用する移行メカニズムがいくつか存在します。しかし、このようなメカニズムはファイアウォールを通らないため、危険であることが証明されています。
IPv6 ノードは企業ネットワークの外からグローバルに到達できます。セキュリティーポリシーで公開アクセスを禁止する場合、ファイアウォールに対して、より厳しい規則を確立する必要があります。たとえば、ステートフルなファイアウォールの構成を考えてください。
IPv6 実装で使用できるセキュリティー機能については、次のドキュメントを参照してください。
IPsec を使用すると、IPv6 パケットの暗号化保護を実現できます。詳細は、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 第 8 章, IP セキュリティーアーキテクチャーについてを参照してください。
IKE および IKEv2 は、IPsec のための鍵の管理を自動化します。詳細は、Oracle Solaris 11.3 でのネットワークのセキュリティー保護 の 第 10 章, インターネット鍵交換についてを参照してください。