基于网络的开放性与自由性,网上有各种各样的人,他们的意图也是形形色色的。利用防火墙技术,经过严谨的配置,通常能够为不同安全域之间提供安全的网络保护,降低网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够,主要表现在以下几个方面:
1、入侵者可伪装成正常的访问请求通过防火墙,寻找内部系统可能存在的缺陷;
2、某些恶意程序(木马后门)和破坏者可能就在防火墙保护的系统内部;
3、由于性能的限制,防火墙通常不能提供实时的入侵检测能力;
4、保护措施单一。
因此为了弥补防火墙的不足,建立立体防御体系,可以考虑通过网络入侵检测系统用于分区实时检测和保护核心服务器和数据库,这样能够实时监控网络传输情况,自动检测可疑行为,分析来自网络外部和内部的入侵信号,在网络受到危害前发出预警,以便及时作出预判应对,最大程度地为网络提供安全保障。
根据网络规划、应用部署规划和网络访问流量的方向分析,建议对进入核心交换层的内部访问流量进行数据流镜像监听,有重点的对网络系统进行入侵检测防御。在互联网出口的两条链路上部署入2台带有入侵防御功能的安全网关,对进入网络内部的数据流量进行监测和防护。
在核心交换机上部署1台高性能的入侵检测系统检测从移动外网进入到核心应用服务器和内网的数据流量,对相关业务域和全网用户访问行为进行有效监控,为日后的事件分析、系统情况排查提供可靠的数据依据。
