建立防火墙的网络安全防护体系(1)

　　·防火墙选择

    防火墙和其它反病毒类软件都是很好的安全产品，但是要让你的网络体系具有最高级别的安全等级，还需要你具有一定的主动性。

　　你是不是每天都会留意各种黑客攻击、病毒和蠕虫入侵等消息？不过当你看到这些消息时，也许你的系统已经受到攻击了。而现在，我要给你介绍一种更具主动性的网络安全模型，通过它，就算再出现什么新病毒，你也可以对企业的网络系统感到放心。

　　类似于防火墙或者反XX类软件(如反病毒、反垃圾邮件、反间谍软件等)，都是属于被动型或者说是反应型安全措施。在攻击到来时，这类软件都会产生相应的对抗动作，它们可以作为整个安全体系的一部分，但是，你还需要建立一种具有主动性的安全模型，防护任何未知的攻击，保护网络安全。另外，虽然在安全方面时刻保持警惕是非常必要的，但是事实上很少有企业有能力24小时不间断的派人守护网络。

　　在实现一个具有主动性的网络安全架构前，你需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面：防火墙、VPN、反病毒软件，以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包，但是它并不能识别入侵，而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道，但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的，而且面对黑客攻击，基本没有什么反抗能力。同样，入侵检测系统也是一个纯粹的受激反应系统，在入侵发生后才会有所动作。

　　虽然这四项基本的安全措施对企业来说至关重要，但是实际上，一个企业也许花费了上百万购买和建立的防火墙、VPN、反病毒软件以及IDS系统，但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞，它可以被黑客利用，用来攻击网络、窃取信息，并使网络瘫痪。据2004 E-Crime Survey(2004 电子犯罪调查)显示，90%的网络安全问题都是由于CVE引起的。