路由器、防火墻、入侵檢測(cè)系統(tǒng)和類(lèi)似mcafee Virusscan或symantec antiVirus這樣的殺毒軟件是當(dāng)今網(wǎng)絡(luò)戰(zhàn)最常用的安全工具，特別是保護(hù)桌面電腦的安全。每種設(shè)備的能力和特點(diǎn)簡(jiǎn)要如下：

路由器是兩個(gè)網(wǎng)絡(luò)之間的網(wǎng)絡(luò)數(shù)據(jù)包交換，提供對(duì)已知傳輸?shù)攸c(diǎn)的過(guò)濾機(jī)制，帶來(lái)潛在的網(wǎng)絡(luò)安全問(wèn)題。如果路由器的預(yù)設(shè)置是“拒絕全部”，必須實(shí)施進(jìn)入控制名單進(jìn)行可以接收的網(wǎng)絡(luò)傳輸。另一方面，如果路由器的預(yù)設(shè)置是“全部允許”，那必須實(shí)施進(jìn)入控制名單算出哪些傳輸是被拒絕的。

在純粹意義上，前者太嚴(yán)格，效率低，而后者又太寬容，不安全。多數(shù)現(xiàn)代網(wǎng)絡(luò)工程師利用后者范例，因?yàn)槿鏑isco系統(tǒng)公司這些主要的路由器制造商的產(chǎn)品具有先進(jìn)的安全特性，增加了路由器保護(hù)英特網(wǎng)網(wǎng)絡(luò)的能力，同時(shí)不會(huì)嚴(yán)重降低合法網(wǎng)絡(luò)傳輸?shù)乃俣取?/P>

防火墻與路由器密切配合過(guò)濾進(jìn)出數(shù)據(jù)傳輸；防火墻還啟動(dòng)預(yù)定義規(guī)則集（ruleset）決定允許或丟棄哪一個(gè)進(jìn)出的數(shù)據(jù)包。防火墻的內(nèi)部程序與規(guī)則集對(duì)數(shù)據(jù)包進(jìn)行核對(duì)后允許或拒絕通過(guò)。錯(cuò)誤的或過(guò)期的規(guī)則集對(duì)防火墻用處不大。而且，一般防火墻不能發(fā)現(xiàn)不為所知的新攻擊或者是規(guī)則集數(shù)據(jù)庫(kù)中沒(méi)有的攻擊。防火墻可以是硬件或軟件或者是軟硬件的結(jié)合。防火墻設(shè)備的物理位置需靠近網(wǎng)關(guān)以確保對(duì)數(shù)據(jù)包進(jìn)行適當(dāng)?shù)姆治觥＝裉斓姆阑饓拖癖０哺鶕?jù)數(shù)據(jù)庫(kù)的規(guī)則集來(lái)決定允許還是拒絕哪一個(gè)數(shù)據(jù)包通過(guò)。

入侵檢測(cè)系統(tǒng)（IDS）對(duì)入侵網(wǎng)絡(luò)或主機(jī)系統(tǒng)進(jìn)行監(jiān)視、報(bào)告和響應(yīng)。多個(gè)傳感器——網(wǎng)絡(luò)上分布的多個(gè)小型計(jì)算機(jī)應(yīng)用系統(tǒng)，負(fù)責(zé)向主要IDS服務(wù)器報(bào)告——是IDS方法的眼睛和耳朵。如果防火墻可以看作是大樓的保安，那么IDS就可以被看成是一組安全視頻攝像機(jī)，對(duì)進(jìn)入大樓的腳印進(jìn)行掃描，同時(shí)觀察大樓的各個(gè)關(guān)鍵位置。在這種情況下，這組“視頻攝像機(jī)”能立即報(bào)警，對(duì)發(fā)生的事件進(jìn)行主動(dòng)響應(yīng)。如同防火墻一樣，IDS的力量在于其知識(shí)庫(kù)。有缺陷的或過(guò)時(shí)的知識(shí)庫(kù)給予管理員虛假的安全感，攻擊可以悄然溜過(guò)。

殺毒程序是所討論的最后的安全系統(tǒng)。殺毒程序安裝在桌面電腦和服務(wù)器的硬盤(pán)驅(qū)動(dòng)器中。這些軟件程序?qū)τ脖P(pán)驅(qū)動(dòng)器、接受的電子郵件和其他基于系統(tǒng)的部件進(jìn)行掃描和清除，確保沒(méi)有惡意軟件進(jìn)入系統(tǒng)本身。與防火墻和IDS程序一樣，最新的殺毒程序才管用。黑客每天制造新病毒。強(qiáng)大的殺毒程序必須不斷更新使得系統(tǒng)能夠通過(guò)總所周知的數(shù)字簽名識(shí)別最新攻擊。不幸的是，數(shù)字簽名能夠輕易更改，因此黑客經(jīng)常公布他們的攻擊代碼給同伙，這樣知名的病毒變種就能很快產(chǎn)生。

對(duì)于目前多數(shù)網(wǎng)絡(luò)防御技術(shù)和方法，深入了解目前的攻擊和攻擊向量是非常必要的。這在可見(jiàn)的未來(lái)是不會(huì)改變的。未來(lái)所需的是根據(jù)基于異常的建模與仿真范例應(yīng)用先發(fā)制人網(wǎng)絡(luò)防御機(jī)制的補(bǔ)充戰(zhàn)略。這就是說(shuō)，安全管理員不是坐等攻擊開(kāi)始，而是建立新的創(chuàng)新程序進(jìn)行積極主動(dòng)的網(wǎng)絡(luò)防御。

這些新程序需要“模仿研究，加快開(kāi)發(fā)信息安全和可生存性技術(shù)。目前的程序造成了創(chuàng)新者和開(kāi)發(fā)者永遠(yuǎn)在追趕對(duì)手。”該停止“拼命追趕的游戲了”，要在未來(lái)對(duì)手攻擊美國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施之前開(kāi)始積極主動(dòng)地與網(wǎng)絡(luò)敵人交戰(zhàn)。

【編輯推薦】

1. “云安全”殺毒更可靠上網(wǎng)本殺毒軟件選購(gòu)策略
2. 巧用MMC強(qiáng)化Windows桌面安全