防火墙对于网络内部各主机之间的病毒攻击行为也束手无策。同时,防火墙不能防止最新的未设置策略或错误配置引起的安全威胁。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的,因此常常是新病毒发作之后,网络安全措施才进行“亡羊补牢”似的升级。此外,防火墙还不能防止受病毒感染的文件的传输,这也是蠕虫等隐性病毒肆虐的原因。
再看现如今方兴未艾的入侵检测(IDS)。入侵检测系统的作用是通过旁路监听的方式不间断的收取网络数据,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。总的来说,IDS对网络的运行和性能无任何影响,不但可以发现从外部的攻击,也可以发现内部的恶意行为。然而,由于IDS本身的局限性,各种帮助病毒文件躲避或越过IDS进入网络的技术不断推陈出新,诸如利用字符串匹配弱点的攻击方式,以及会话拼接(session splicing)、碎片攻击、拒绝服务等,都可以让IDS形同虚设。
全局安全:围“虫”聚歼
业界专家曾指出:之所以网络中防火墙设备和入侵检测系统在蠕虫入侵和发作时表现苍白页码:[1] [2] [3] [4] [5] [6] 第4页、共6页 |
