从前面的分析我们不难看出，网络安全需要系统化的建设，任何一点疏漏都将引发信息丢失或数据被破坏等，作为企业用户，应该怎样构建一个完善的网络安全系统呢？ 

    对于网络建设者和维护者来说，实现网络安全的第一要务是明确网络业务定位、所提供的服务类型和服务对象，以此为基础，进一步分析系统安全需求，评估当前的安全风险程度，然后制定相应的安全策略，选择适当的安全技术，实施安全工程。图1所示的是网络安全的整体解决方案(中科网威安全技术有限公司提供)，由此我们可对安全设计略见一斑。 

    由于业务多种多样，服务类型各具特色，所以企业安全需求千差万别，相应的安全策略也迥然不同。但是采用的安全技术基本相同。下面，我们以技术为主，以需求和策略分析为辅，详细说明安全网络的建设。 

    根据我国企业对网络的依赖性、对数据的保密程度以及资金分配等现实情况，有些企业当前对安全防护要求不是很严格，而且整体投资能力有限，对实施完整的安全方案有一定困难，我们将这类用户定义为不完整安全类用户。还有一些企业资金雄厚，安全意识强，对安全防护要求高，有能力完成一步到位的安全建设，我们将这类用户定义为完整安全类用户。安全防范需要通过安全技术、安全产品集成及安全管理来实现，单靠安装一个安全产品做不到真正意义上的网络安全。企业用户应该与专业的安全解决方案、产品技术提供商通力合作，设计长远的发展规划，共同完成安全系统的建设。特别需要注意的是，企业用户应该对产品与技术有所了解，这样在选择安全方案、构建系统、与厂商合作和对付安全问题时才能做到“心知肚明”。 

  鉴于以上对2种用户的分类，我们把安全系统分为2期工程进行建设。 

一期工程“垒砖筑墙” 

    实施安全解决方案有5个关键技术点，它们是防毒、控制访问、加密与认证、漏洞扫描和入侵检测。对于不完整安全类用户，虽然暂时无法全面开展安全建设，但应该顺应未来需要，以满足现状为基础，分批分步的进行安全建设。通常，在初期建设中，采用防毒和防火墙技术抵御外来攻击是必不可少的手段。 

  1、 病毒防护：将病毒扼杀在摇篮中 

    在网络环境下，计算机病毒具有不可估量的威胁性和破坏力，防范病毒是实现网络安全非常重要的一项工作，采用反病毒技术可以有效防地范病毒。反病毒技术包括预防、检测和攻杀3项功能，一般防毒软件均采用此技术。 

    通常，我们把网络防毒软件划分为客户端防毒、服务器端防毒、群件防毒和internet防毒4大类。客户端防毒侧重单机防毒，国内外产品在可靠性方面已不相上下。防止外部病毒入侵，不同厂家在技术上没有太大的区别，但从性价比上看，vrv的防毒软件更出色一些；从对资源的占用率来看，kill的软件略小一些，稳定性较好。基于群件的应用越来越广泛，对群件包的扫描需求也越来越迫切，各厂商都推出了相应的群件防毒产品。internet防毒包括对电子邮件和ftp文件中的病毒防护，以及active x和java等恶意程序攻击的抵制。kill的产品在这方面做得不错。事实上，国内产品对邮件病毒查杀很有效，但对java恶意程序进攻的反击还比不上国外产品。 

    美国网络联盟公司(nai)为用户提供一套网络安全总体解决方案net tools，它建立在2个集成的、可缩放的套件net tools secure和net tools manager之上。其中net tools secure包括mcafee active virus defense和pgp total network security。mcafee active virus defense是对包括对客户机、服务器和internet网关在内的防病毒多级处理方案，其内含的virusscan可检测目前已知病毒，能杀灭多于15000种病毒；webscanx可防止用户在进行internet信息下载时恶意javat active程序对台式机的破坏；netshield可保护文件、应用程序和群件服务器; groupshield用于lotus notes/domino和microsoft exchange在服务器水平扫描，清除受感染文件，有效防止其散布; webshield则可在internet网关阻截病毒和有恶意的应用程序。 

    北京赛门铁克信息技术有限公司(symantec)面向客户端的产品有norton internet security、norton personal firewall和norton antivirus。norton internet security可使用户pc机不受黑客、病毒及其他网络安全威胁，还可保护用户个人信息的隐私权，并过滤网络广告网页，加速下载的时间。norton personal firewall可掌握用户pc机所有进出的联机动态，并警告用户可能产生的可疑状况，以阻挡黑客入侵，还能防止应用程序未经用户同意在网络上传递个人信息。norton antivirus的自动防护功能可防止潜伏在电子邮件附件中的病毒及其他恶意internet代码的侵害。 

    冠群金辰软件有限公司面向企业级用户的反病毒产品有kill for windows nt server、kill for netware、kill client agent、kill for lotus notes和kill for unix/linux。其中，kill for windows nt server可为企业的文件服务器提供实时、自动化的病毒防护。kill for netware通过实时病毒监控、病毒扫描引擎和压缩文件检测等病毒防护手段，阻止各类病毒进入网络系统。kill client agent是kill网络版产品的客户端部分，与kill for windows nt server等服务器端产品一起，构建了client/server方式的网络反病毒体系。kill for lotus notes可以实时扫描进出notes邮件服务器的所有邮件。kill for unix/linux通过病毒扫描引擎和灵活的检测方式，可检测及清除各种文件型病毒、特洛伊木马、蠕虫病毒及宏病毒，可对电子邮件数据库进行扫描，确保邮件安全。 

    现已成为安氏互联网安全系统(中国)有限公司全资子公司的乐亿阳趋势公司，为推动网络防毒运动，在近期推出“买安全软件，送捷达轿车”活动，强力推荐其网络工作站防毒产品officescan v3.5。它是一款适用于企业局域网的反病毒软件，具有集中的病毒事件报告、自动更新和基于web的远程管理功能。另外，其文件服务器防毒软件serverprotect可以有效地防范病毒对服务器的侵害。还有电子邮件防毒软件scanmail，可阻止病毒、恶意代码、敏感内容和垃圾邮件通过microsoft exchange、lotus notes、cc:mail和microsoft mail等进行传播。 

    对于防毒软件的选择，用户应该根据自己的使用条件和应用环境，选择服务及信誉好的厂商和经销商。特别需要指出的是，能防能杀是反病毒产品的基本功能，而特征病毒码采集和更新是关键，每个厂商都有病毒监测网，病毒样本采集是否全面与及时关系到防杀病毒数量的多少，选择产品时对此一定要严加考察。 

  2、防火墙技术：抵挡黑客的第一道门 

    根据功能、保密水平和安全水平的不同将网络分段进行隔离，可有效提高整个网络的安全性。当前主要的网络分段方式有路由器、虚拟局域网和防火墙，其中防火墙的应用较为广泛。 

    鉴于网络安全水平和可信任关系，防火墙将网络划分成一些相对独立的子网，两侧间的通信受到防火墙的检查控制。它可以根据既定的安全策略允许特定的用户和数据包穿过，同时将安全策略不允许的用户和数据包隔断，达到保护高安全等级的子网、阻止墙外黑客的攻击及限制入侵蔓延等目的。然而，防火墙并非万能的，它在很多方面存在弱点，比如无法防止来自防火墙内侧的攻击，而防御各种已识别类型攻击有赖于正确的配置，防御各种最新的攻击类型取决于防火墙知识库更新的速度和相应配置更新的速度等。 

    通常，人们将防火墙分为2类: 包过滤和应用级防火墙。包过滤型防火墙检查的范围涉及网络层、传输层和会话层，过滤匹配的原则可以包括源地址、目的地址、传输协议和目的端口等，也可以根据tcp序列号、tcp连接的握手序列（如syn和ack）的逻辑分析等进行判断，能够有效地抵御类似ip spoofing和syn等类型的攻击。路由器通过配置其中的访问控制列表可以作为包过滤防火墙使用，但是过多的控制列表会严重降低路由器的性能。所以在业务量较大的场合，我们需要将路由和包过滤2种功能分开，也就是说有必要单独购买专门防火墙产品。 

    应用级防火墙能够检查进出的数据包，透视应用层协议，与既定的安全策略进行比较。该类型防火墙能够进行更加细化、复杂的安全访问控制。根据是否允许两侧通信主机直接建立链路，应用级防火墙又可以分为网关和代理2种。前者允许两侧建立直接连接，而且依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包。后者通过特定的代理程序在两侧主机间复制传递数据，不允许建立直接连接。目前在市场上流行的防火墙大多属于应用级防火墙。 

    各种防火墙的安全性能不尽相同，下面我们对一些有代表性的产品进行介绍。 

    思科系统(中国)网络技术有限公司(cisco)的secure pix 防火墙能够提供全面的防火墙保护，可建立使用 ipsec 标准的虚拟专网(vpn)连接，并能在内部网和 internet、extranet 或 intranet 链路之间执行安全访问。该产品包括4种型号: secure pix 525(供企业和服务供应商使用) 、secure pix 520(面向大型企业机构和复杂的高端流量环境)、secure pix 515(面向中小型公司和远程办事处部署)和secure pix 506(面向高端小型办公室/家庭办公室机构)。它们易于安装，性能稳定，都拥有内置的ipsec加密，允许站点到站点或远程vpn的部署。除能够由pix configuration manager 管理之外，secure pix 防火墙也可以由 secure policy manager 集中管理，后者能够管理多达500个secure pix 防火墙、部署集成化软件和安装站点到站点的vpn。 

    netscreen公司的硬件防火墙具有独特的asic设计及获得专利的系统体系结构，其4种模式配置适用于现存的网络结构。netscreen防火墙具有存取控制和拒绝攻击等功能，前者可指定ip地址，进行用户认证控制; 后者可检测syn攻击、tear drop攻击、ping of death攻击、ip spoofing攻击、默认数据包拒绝、过滤源路由ip和动态过滤访问等，支持web、radius和secureid用户认证。此外，它还具有网络地址转换、网络隔离、负载平衡、vpn和流量控制及实时监控等特性。 

   nai的防火墙产品分软件和硬件2种。软件防火墙为gautnlet，其动态自适应网关代理具有用户透明、集成管理、高强度加密和高吞吐量等特点，可以检查进入网络的文件、消息和web内容，防止java和active x等小型应用程序攻击网络，提供vpn支持和基于标准的x.509认证支持。nai硬件防火墙e-ppliance,是集安全防火墙、vpn和网关防病毒为一体的即插即用硬件防火墙，提供多达6个网络端口，并支持硬件加密和备份等。 

    清华紫光网联科技有限公司的防火墙产品有2款，unisecure uf3102和unisecure uf3500，它结合包过滤和应用级代理服务器功能，具有流量控制和网络管理等特性。具体来讲，它们可绑定ip/mac地址，防止内部ip欺骗，支持ip映射和端口转移，可进行攻击检测和实时报警，采用静态路由表，支持多个子网，具有基于内建数据库的用户认证，支持pptp和ipsec等。 
清华得实网络安全技术有限公司自主开发的netst防火墙系列产品采用状态检测包过滤技术，可实时在线监测当前内外网络的tcp连接状态，能根据连接状态动态配置规则，阻断异常的连接状态，达到入侵检测和及时报警等目的。另外，netst防火墙可判别主要的攻击方法，既具有包过滤防火墙的高速处理能力，又具有代理式防火墙的安全性，还可以采用终端命令行和远程java控制台2种方式进行配置管理。与此同时，netst还具有在线升级能力，支持基于用户身份的网络访问控制和外部身份认证，具有实时在线监视tcp连接的各种状态能力。 

    冠群电脑(中国)有限公司(ca)和冠群金辰公司的防火墙产品etrust firewall(前者提供英文版，后者提供中文版)结合了代理、包过滤和基于用户的访问控制等多项技术，工作在数据包层，可以检查所有通过该防火墙的数据包，及时发现黑客的入侵企图，加强安全保护。etrust firewall可以防范网络攻击，支持像udp这样的“无连接”网络协议，支持基于状态信息的智能过滤，通过采用unicenter安全引擎和管理技术进行用户识别和授权，避免了上下文的交换和数据复制，保证防火墙主机和网络的性能。此外，它还支持网络地址转换技术，易于安装和管理，并具有报警和审计功能，支持日志管理等。 

    checkpoint软件公司的防火墙产品firewall-1包括单网关和企业级2种产品，具有存取控制、内容安全、地址转换和路由器管理等功能。单网关产品包含防火墙模块（包含状态检测模块）、管理模块和图形用户界面3种模块，而且防火墙模块和管理模块必须安装在同一台机器上。企业级产品由若干基本模块、可选模块和图形用户界面模块组成，特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。firewall-1基本模块包括状态检测模块(提供访问控制、客户机认证、会话认证、地址转换和审计功能)、防火墙模块(包含一个状态检测模块，提供用户认证、内容安全和多防火墙同步功能)和管理模块(对一个或多个安全策略提供集中的、图形化的安全管理功能)。可选模块包括连接控制模块、路由器安全管理模块和加密模块等。其中图形用户界面是管理模块功能的体现，它包括策略编辑器、日志查看器和系统状态查看器。 

    3com公司的3com officeconnect internet防火墙为中小企业提供了保护网络安全低价而高效的选择，它既能阻止黑客于门外，又可通过虚拟子网控制internet的使用，防止用户对不适当资源的访问，保持网站的访问率，分析连接internet所使用的带宽，并允许整个办公室分享一个单独的、由服务提供商提供ip地址，便于安装与配置。据悉，3com officeconnect internet已通过icsa（全球独立安全服务机构）的认证。 

    天融信安全技术公司的防火墙产品有ng fw2000和ng fw3000 2个系列，其中ng fw3000系列防火墙是天融信防火墙产品中优秀的系列。它采用自主版权的专用安全操作系统，保证了防火墙自身的安全性。它具有模块化结构设计，可扩展性好，方便用户定制与升级。它还采用面向对象的管理，支持topsec协议，可与入侵检测等其他安全产品协同工作，支持与vpn的无逢集成，并采用状态检测和应用级透明代理相结合的多级安全机制，可实现网络层和应用层的细粒度控制，吞吐率高达99mbps。同时，它采用嵌入式模块设计和多接口设计，具有多种安全灵活的管理方式，支持web页面实时检测与灾难恢复。 

    北京汉邦软科数码公司的网络防火墙zysuperwall也是自主研制开发的网络产品,它融合目前主要的防火墙技术，对关键网络服务提供基于应用代理的控制，对常用网络服务提供代理和快速的包过滤机制等。管理员可根据具体的安全需求选择灵活多变的安全控制策略进行控制，也可结合一些防火墙的具体功能和技术，为企业内部网络提供安全防护手段，抵御来自外部网络的攻击。 

    东软软件股份有限公司(原东大阿尔派)最近新推一款neteye3.0，它采用了紧密的3层结构，使用了流过滤技术，在状态包过滤的基础上采用了专门设计的tcp协议栈，将ip数据包转化成数据流，实现对应用协议信息流的过滤，然后再通过tcp协议栈将其转化为ip数据包，再次进行包过滤，从而实现在透明方式下的对应用层协议的控制能力。专为防火墙实现的tcp协议栈抛弃了socket接口，支持大规模并发访问，具有极强的抗攻击能力，可以抵御各种tcp层的扫描。目前，neteye3.0已通过国家权威部门检测，符合gb/t18019-1999(包过滤防火墙安全技术要求)和gb/t18020-1999(应用级防火墙安全技术要求)2个行业标准的技术要求。同时该系统提供了丰富的gui方式的管理和监控工具，能够方便地对系统进行安全策略配置、用户管理、在线监控、审计查询及流量管理等操作。实现了对攻击的识别模块，能够有效地防范多种dos的攻击手段，并能够对攻击事件进行报警，系统还实现了双机热备份的功能。此外该系统对协议的处理进行了优化，其千兆版本能够利用多处理器能力处理超过20万个并发连接，支持高速网络的应用。 

    在选择防火墙时，应注意根据企业需求和实际环境考察几个性能指标: 支持流量大小、并发会话数目、最大允许的规则数目、支持的协议种类、提供的服务种类以及是否具有自动加固宿主机功能等。 

二期工程“天衣无缝” 

    如前所述，根据业务发展需要或资金到位情况，在初期建设基础之上，不完整安全类用户可继续实施未完成的建设，以构建完整的安全系统。此外，对于有实力建设全面安全系统的企业，可遵循不完整类用户建设的思路，一次完成整个系统的建设。 

    余下建设需采用的关键技术主要包括加密与认证、漏洞扫描和入侵检测，策略、科学的应用这些技术，形成优势互补的生态链，可使网络安全效果达到最佳状态。如何运用这些技术有赖于具体的网络环境，在此，我们把企业用户普遍关心的内容介绍如下。 

  1、加密与认证：确保信息传输的安全性 

    数据的机密性、完整性、正确性和不可否认性等是保证网络安全的一个重要方面，为了能够在网上传送企业的机密信息，用户可配备加密设备(如具有加密功能的网关或防火墙等)，从而让数据在网上传送时采用密文形式，而不是明文形式。 

    数据加密可通过形形色色的算法来实现。随着现代电子技术和密码技术的发展，公钥密码算法成为一种很有前途的网络安全加密体制。现在流行的pgp和ssl等加密技术都是将常规密码和公钥密码结合在一起使用，像利用des或idea加密信息，采用rsa传递会话密钥。此外，还有一些加强安全的措施，如采用ssh技术，通过加强telnet，使登录时的口令加密后再传输; 又如采用ssl技术，可加强http应用的安全性。可以说，加密技术是网络安全最有效的技术之一。 

    对于数据信息的确认性和不可否认性，用户也可以采用数字签名技术实现，方法是通过使用数字证书，把证书持有者的公开密钥与用户的身份信息紧密安全地结合起来。由数字证书认证中心(签发数字证书的机构)签发数字证书，确认用户身份，保证通信双方身份真实，通信可靠。 

    加密与认证技术的一个应用实例是vpn。随着联入internet的用户迅速增加，各企业都在考虑如何利用internet来获取更多的商业利益。起初，企业只是利用internet宣传其形象和产品，提供www访问，现在可以利用internet实现网络银行、电子购物和电子商务等。要实现这些新功能必须采用一定的安全技术，vpn便提供了一种可靠的解决办法，它通过公共网络（通常是internet）建立一个临时且安全的连接(帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接)，保证数据安全传输。vpn 主要采用4项技术，即传输信道、加密与解密、解密钥匙管理和认证，因而具有一定的安全性能。特别是在连入internet之前，企业通过指定相应的安全策略，可以为不同的用户提供不同的访问权限。 

    vpn设备选择标准主要取决于应用程序的运行、安全组别和应用性能的要求。vpn的应用平台有3类: 纯软件平台、专用硬件平台和辅助硬件平台。对于纯软件平台vpn，当数据连接速率很低、对性能和安全性要求不高时，可以利用一些软件公司所提供的基于软件的vpn产品实现简单的vpn功能。比如前面提到的checkpoint的firewall-1，它可以通过internet在企业网之间进行信息加密，建立安全的vpn。firewall-1可在企业内部网络上设置加密(无须在网络的每一台主机上安装和设定加密软件)，还能在它所要加密的领域执行加密。对于专用硬件平台vpn，可以满足企业和个人用户对数据安全及通信性能的需求。尤其在通信性能方面，指定的硬件平台可以完成数据加密和数据乱码加密等对cpu处理要求很高的功能。提供这些平台的硬件厂商包括cisco的secure pix等。对于辅助硬件平台的vpn，它们的应用介于纯软件平台vpn和指定硬件平台vpn之间。辅助硬件平台vpn是在现有网络设备基础之上增添适当的vpn软件性能，以实现vpn的功能。 

    ca和冠群金辰的etrust vpn提供增强的网络安全策略，无论是通过局域网还是在防火墙外通过internet进行传输，数据总是被加密的。etrust vpn工作在防火墙内外，用户可把etrust vpn 客户端安装在防火墙外的远程计算机上，通过拨号与internet连接，也可以安装在防火墙后的局域网上。此外，我们可以把etrust vpn administrator安装在某管理工作站上，用于创建和维护组中的应用服务器及其安全策略。etrust vpn administrator支持windows nt 域认证、secureid、unix密码文件、radius和ldap，符合最终用户要求，用户无须了解复杂的加密算法和指定的安全网络路径名。 
symantec的powervpn server 6.5使用proxysecured vpn技术，可以对数10万台raptormobile客户机实现vpn部署和策略管理，并能与ipsec兼容型vpn客户机和服务器互操作。由于它独立于防火墙，所以容易集成到现有的网络环境中。 
因为不同商业环境对vpn的要求和vpn所起的作用是不一样的，根据不同需要，我们可以构造不同类型的vpn。 

    选择网络安全扫描工具时，应注意考核几点: 扫描发现的安全漏洞数量是否多，数据库更新速度是否快，扫描效率以及对目标网络系统的影响是否大，定制模拟攻击方法是否灵活，扫描程序的易用性与稳定性是否好，提供安全服务的公司掌握最新安全漏洞和攻击方法的能力是否强。 

  2、漏洞扫描：探查网络薄弱环节 

    安全扫描采用模拟攻击的形式对可能存在的已知安全漏洞进行逐项检查，扫描目标可以是工作站、服务器、交换机和数据库应用等，通过扫描，可以为系统管理员提供周密可靠的安全性分析报告，从而提高网络安全整体水平。在网络安全体系的建设中，安全扫描工具花费低，效果好，见效快，安装运行简单。 

    当前，我国已有数家单位在开发此类产品，从整体效果看，在安全漏洞的时效性、数量以及结果的分析报表等方面与国外先进产品相比已经达到相近水平，进入实用阶段。网络安全扫描市场的主要产品包括安氏的iss scanner（包括internetscanner、system scanner和database scanner）、中科网威信息技术有限公司火眼netpower net scanner和nai公司cybercop scanner等。 

    安氏iss internet scanner可对所有附属在网络中的设备进行扫描，检查它们的弱点，将风险分为高、中和低3个等级，并且生成大范围的报表，从分析报告到为消除风险给出的详尽指导方案均可以体现在报表中。该产品可保护存储在数据库管理系统中的数据安全。system scanner通过对内部网络安全弱点的全面分析，协助企业进行安全风险管理，并可对主机进行预防潜在安全风险的设置，包括易猜测的密码、用户权限、文件系统访问权、服务器设置以及其他含有攻击隐患的可疑点。database scanner能通过网络快速、方便地扫描数据库，检查数据库特有的安全漏洞，全面评估所有的安全漏洞和认证、授权和完整性方面的问题。 

    中科网威的火眼netpower net scanner是专门针对网络薄弱环节的安全问题而设计的一款产品，它能够编辑详细的网络系统和业务清单，通过安全扫描引擎，可对网络系统和作业系统进行测试分析，进而找到安全漏洞。凭借odbc数据技术，能够有效地管理数据，并能够通过综合的报告和图表显示作业结果，提供有效的安全建议，改善用户的信息安全环境。 

    北京启明星辰信息技术有限公司最新研发的网络安全产品webkeeper v3.0可对指定目录、文件进行自动监测，并能及时发现所有对非授权网页的修改和删除，及时报警。同时，它能随时增加备份库内容，增减保护项目，在报警的同时拒绝非法操作，允许用户设定上传工具，合法更新网站内容，无须停止本系统。另外在网页出错或想保留修改前内容时，可从备份库中自动恢复。webkeeper v3.0分布式控制可以实现一点控制多台web服务器功能，支持http协议web管理方式，提供完整的日志记录，为后续安全维护提供很大的帮助。 

    nai的cybercrop scanner是一个综合性扫描工具，可以连续分析安全风险，区分优先次序，然后给出加强弱点区域的指示。特别是其内置的autoupdate（自动更新）技术，可以有效保护用户数据。 

    在进行网络安全产品选型时，注意所购买的网络安全产品必须满足国家管理部门的政策要求。第一，安全产品必须具备相应的许可证，比如密码产品，必须满足国家密码管理委员会的要求。第二，安全产品必须获得国家公安部颁发的销售许可证。第三，安全产品必须获得中国信息安全产品测评认证中心的测评认证。第四，安全产品必须遵循总参谋部颁发的国防通信网设备器材进网许可证。第五，安全产品必须符合国家保密局有关internet管理规定和涉密网审批管理规定。 

 3、入侵检测：非法来访者禁止入内 

    网络入侵检测系统可以分为基于网络数据包分析和基于主机检测2种方式。简单地说，前者在网络通信中寻找符合网络入侵模板的数据包，并立即做出反应。当前，部分产品也可以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为，一旦攻击被检测到，响应模块依照相应配置对攻击做出反应。通常这些反应有发送电子邮件、寻呼、记录日志和切断网络连接等。后者在宿主系统审计日志文件中寻找攻击特征，给出统计分析报告。主要目的是在事件发生后提供足够的分析来阻止进一步的攻击，反应的时间依赖于定期检测的时间间隔，其实时性没有基于网络的入侵检测系统好。事实上，上述2种方式可以互相补充使用。基于网络的部分提供早期警告，基于主机的部分提供攻击成功与否的确认。目前流行的管理/代理(manager/agent)结构不仅可以监视整个网络的入侵和攻击活动，审查日志管理，还可以进行实时入侵活动的探测，显示出网络入侵检测技术的发展趋势。 

    安氏的入侵检测产品有基于网络的realsecure network engine，它可对计算机网络进行自主地、实时地攻击检测与响应，通过对网络安全轮回监控，使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑数据时不会影响数据在网络上的传输。此外，realsecure network engine还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态且智能的防护体系。安氏还有基于主机的realsecure system agent产品，它可对主机操作系统进行自主地、实时地攻击检测与响应。一旦发现入侵，立即切断系统用户进程通信，并做出各种相应的安全反应。 

    cisco的secure入侵检测系统(即以前的netranger)是一个基于网络的实时入侵检测系统，用于检测、报告和终止整个网络中未经授权的活动。它包括感应设备和一个中央管理控制台。感应器检测未经授权而穿过网络的各种通信活动，通过终止攻击会话处理通信活动，并将报警发回中央管理控制台。 

    nai的cybercops monitor兼顾了基于网络和基于主机2种入侵检测技术，可以对网络通信和系统事件进行同步分析，实时检测，即使在交换和高速网络中也不会有错误报警。 

    无论是网络安全建设的一期工程还是二期工程，对于上面几个重要的安全技术，受投资规模的限制，不可能全部最高强度地实施。作为用户，应该分析网络中最为脆弱的部分，并重点解决，将有限的资金用在最为关键的地方。而这有赖于对网络安全策略分析的充分投入。 

    如果是较大规模的企业网，运行者应该有自己的网络安全技术专家，它们直接参与工程的设计、谈判和运行，拥有对整体网络拓扑和服务非常透彻的了解。这样可以保证网络安全策略自始至终的连续性。网络安全的技术研究国内起步较晚，虽然目前许多网络专家开始注意并研究相关的技术，但是总体来说网络安全技术的专门人才还比较缺乏。因此多数网络的建设者和运行者并不拥有相应的技术力量。如果是普通企业网，购买市场上的网络安全服务是比较明智的策略，这样可以降低成本。例如网络安全风险评估(在发达国家非常普遍)、网络设计安全评估和网络安全维护等服务。多方位、多角度地考察网络安全漏洞和弱点是提高网络安全水平的重要保证。 

    在分析安全需求与评估当前的安全风险程度之后，通过制定相应的安全管理策略，可以进行相应的安全系统建设。 

    技术和产品仅是安全防护的工具，如何使用、怎样达到预期的使用效果才是满足安全要求的关键，因此，要让系统安全运行，寻求安全服务和技术支持势在必行。安全服务和技术支持工作是靠技术人员来完成的。通常，企业自有的技术人员难以胜任这项工作，安全服务提供商可以解决这一问题。事实上，与企业自己培养专门人员的成本相比，购买服务的花费要少得多。 

防火墙的配置 

  防火墙的配置项应根据网络的安全策略和网络的体系结构进行设置，来自郑州的周燕舟先生特别提醒企业用户注意如下一些设置事项。 

  1．关于非军事区（dmz） 
    dmz是指一个特殊的内部网，它允许外网对其进行访问(如公司对外公开发布消息的web服务器等)。通常, 它放在外网和防火墙中间，是内网中不被信任的系统。在进行防火墙设置时可阻断内网对dmz的公开访问，尤其禁止dmz到内网的主动连接。 

  2．规则的次序 
    在防火墙的规则设置中，规则的次序非常重要。对于同样的规则，若采用不同的次序，防火墙会起到不同的作用。因为许多防火墙以顺序方式将ip包与规则相匹配。因此我们会将常用的规则放在前面，提高防火墙的反应速度。需要注意的是，在规则中要允许管理员对防火墙的远程管理，以减轻管理员的工作强度。 

  3．dns的设置 
    一般，我们不对dns防火墙进行过滤，如果要加强dns的安全(比如公司内部有dns服务器)，通常需要主从2个dns，将从dns放在dmz中，可使外网的用户对其进行访问，而将主dns保护起来。 

  4．其他注意事项 
    一般地，我们将缺省规则设为阻塞或丢弃。 
    成功的设置是规则越少越好，以便于用户检查和纠错。 
防火墙的配置应遵循服务最小原则，对于用不到的服务均应该全部关闭，保证防火墙本身的安全。对于应用代理防火墙，必须关闭ip包转发功能。 
    当防火墙工作时，切不可放任不管，至少应养成定期查看防火墙日志的习惯，这样可以掌握网络的正常流量，检查网络所受的攻击，进一步改进防火墙的配置，使其科学简明，同时监控网上潜在的威胁。当防火墙配置安装完毕后，必须对它进行维护，备份所有的防火墙组件，以备恢复。还要记住，时刻准备更新防火墙。 
当网络安全策略改变时，必须考虑重新设置防火墙的规则。