利用防火墙进行访问控制

    在网络边界使用的安全设备如果是防火墙，对其设置的主要思路是只开放必要的服务而关闭不必要的服务。但是，即使网络边界设备只开放必要的服务，由于这些设备不对开放服务的信息流进行内容安全检测，威胁仍然可以通过开放的服务进入到网络内，对网络内部造成威胁。因此在做好上述工作的基础上，还需要增加具有内容过滤功能的设备（如网络防毒墙、防垃圾邮件、入侵检测等），它们可以对经过开放服务端口的信息流进行内容安全检测，防止威胁从此进入，从而弥补路由器或防火墙的不足。涉及内容过滤类功能的主要有以下三种系统。

    1. 网络入侵检测系统。防火墙是静态安全防御技术，它对网络攻击缺乏主动的响应能力，而网络入侵检测系统能对网络入侵做出实时响应，与防火墙共同成为网络安全的核心设备。

    网络入侵检测系统（IDS）是动态安全技术中的核心技术之一，它通过对系统或网络日志分析，对系统或网络资源进行实时检测，获知系统或网络目前的安全状况，及时发现可疑或非法的入侵者。在现有网络的各个VLAN网段分别接入入侵检测引擎，从而构成分布式入侵检测架构，在检测到可疑事件或入侵后，立即向中心控制台报告。基于网络的入侵检测系统一般安装在需要保护的网段中，实时监视网段中传输的各种数据包，并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件，入侵检测系统会发出警报甚至切断网络连接。

    基于网络的入侵检测系统如同网络中的摄像机，只要在一个网络中安放一台或多台入侵检测引擎，就可以监视整个网络的运行情况，在网络受到攻击并造成破坏之前，预先发出警报。基于网络的入侵检测系统自成体系，它的运行不会给原系统和网络增加负担。

    值得一提的是，如今以千兆网络为主干的高速网络已经得到应用，传统的基于模式匹配的网络入侵检测系统已经不能胜任此项工作。特别是目前各类攻击技术的提高、攻击工具的发展对网络的入侵检测系统在降低错报率和漏报率方面的要求也随之提高。因此，入侵检测系统必须配合其他安全手段一起使用。例如，有一种工具软件可以使检测系统失效。这种被称为Stick的工具可发出多个有攻击表现的信息包，使被攻击网络的IDS频繁发出警告，使得管理者无法分辨哪些警告是针对真正的攻击发出的，从而使IDS失去作用。另外，如果有攻击表现的信息包数量超过IDS的处理能力的话，IDS就会陷入DoS(拒绝服务)状态。

    协议分析加命令解析技术是一种新的入侵检测技术，它结合高速数据包捕捉、协议分析和命令解析来进行入侵检测，给入侵检测战场带来了许多决定性的优势。

    网络入侵检测的实际部署数量需要根据实际情况进行，不一定每个网络边界都部署一个网络入侵检测引擎。一般一个网络入侵检测引擎可以监控多个网络安全域及其边界。

    2. 网络防毒墙设备。除了上述安全措施，还可根据实际情况部署网络防毒墙。因为网络防毒墙能够识别和清除藏匿于网络传输包（Packet）内的蠕虫、病毒等恶意程序文件，并启用阻止策略抑制网络病毒的发作和传染。其最大特点是主动预防，而不是事后被动地清杀。一般情况下，网络防毒墙主要部署在Internet边界，主要防范来自Internet网络的恶意病毒攻击。

    3. 防垃圾邮件系统。和网络防毒墙一样，一般情况下，该系统主要部署在Internet边界进行防范垃圾邮件。

    以上措施主要解决入侵威胁，同时在网络安全域边界形成多层面的边界防卫。在这些技术措施中防火墙是基础，入侵检测系统是主要工具。