全方位的安全网络要从底层协议、设备来考虑，要采用全面的安全技术和设备，但更需要一个非常懂行的网管。

上周我在外地做有关网络安全挑战的巡回演讲。有听众发问，是否有绝对安全的网络？IPv6是否能带来真正安全的网络？

关于第一个问题我的回答和很多人一样，没有绝对安全的网络。至于IPv6是否能带来完全安全的网络，我的回答依然是：不能！

网络的安全问题，有协议的因素，也有设备本身的因素。网络协议和设备存在的安全漏洞是先天的。今天一些主流的网络通信协议都是在10年前甚至更早的时候提出并完成设计的。在那个时代，突出的矛盾是要解决计算机的互联，实现信息资源、计算资源、存储资源的共享。网络更多地应用于单纯的科学计算或企业内的一部分，面对的是一个相对单纯的环境。摆在设计师面前的难题是更好的通信质量和速度，以及怎样降低带宽和昂贵的通信费用，而不是安全问题。

这就是为什么今天我们在谈及安全问题的时候，总是爱谈到应该从底层的协议角度更多地考虑安全性的原因，这也是为什么很多公司在推出新产品时会特别提到在自身安全性上所做的独特设计，这也是为什么今年《网络世界》评测实验室会在交换机的测试中引入交换机自身安全性测试的原因。

IPv6的确在协议设计上考虑了很多安全性的问题，比较IPv4来说有很大的进步。比如海量的IP地址能够提供端到端的网络连接，从而能够帮助运营商定位网络的攻击源；再比如人们经常提到IPSec是IPv6协议族中的一部分，而不再像在IPv4协议中那样扮演一个可有可无的补丁角色，这样就提供了端到端的加密数据传输。IPv6具备的SA（Security Associations）、AH（Authentication Header）除了保证数据传输的安全性、完整性，同时也能预防很多IPv4时代的安全问题，比如预防数据重放，预防借助地址欺骗（IP Spoofing）完成的多种DoS攻击，预防常见的SYN Flooding攻击等。

但是这并不代表着完全的网络安全！

其实在IPv6时代，即使计算机之间都采用IPSec的方式进行加密通信，对于企业来说也会有问题。网络安全问题的发展趋势是，更多针对应用的安全攻击层出不穷。今天我们利用IDS和IPS在网络中提供深层次的基于应用层的安全保护，用防火墙、防病毒网关避免病毒的传输。步入IPv6时代，如果所有主机通信都经过IPSec的加密，那么深层检测设备就可能变成瞎子，或者说要花费大量的计算资源才能发现数据流量中的安全攻击行为。

所以说不要以为仅仅依赖协议或者单一的设备、技术就能够实现绝对的网络安全。全方位的安全网络要从底层协议、设备来考虑，要采用全面的安全技术和设备，而且，还需要有一个非常了解应用、能够随时跟踪最新技术进展的网络管理员。