构建多层防黑体系

    黑客入侵是威胁企业网络安全的重要因素，以企业安全策略为核心，建立立体化、多层次的防黑体系对于保护企业安全计算具有重要意义。立体化、多层次的防黑体系可以分为网关防护、内网网络层防护和主机防护三个层次。

    第一层 网关防护

    网关防护是指设置边界防火墙，管理内、外网之间的访问。如果没有设置边界防火墙，内网上的每一个节点都暴露给外网主机，极易受到攻击。设置边界防火墙后，网管员可以利用边界防火墙提供的工具，阻止非法用户进入内网，并过滤掉不安全服务。
    边界防火墙通常具有访问控制、状态包检测、集中式管理、网关入侵检测和报警、网络地址翻译(nat)、流量审核日志等功能。访问控制和状态包检测技术能够有效侦测和阻止不符合安全策略的访问行为；网络地址翻译可以屏蔽内网中的ip地址，避免内网主机遭受外网攻击；防火墙日志能够记录进出网关的行为和外部攻击行为，方便网管员设置更全面的网关安全策略。
    只有边界防火墙在网关处的保护是远远不够的。事实上，企业资料的损失和泄密大多数是由内部员工造成的，所以除网关防护之外，企业网络还需要实施另外两层安全保护措施。

    第二层 内网网络层防护

    内网网络层防护是由网络入侵监测系统和内网防火墙来共同完成。网络入侵检测系统在企业网络中起到监视器的作用。黑客攻击信息系统、窃取破坏数据都要通过网络具体实施在某台主机上，而基于网络的入侵检测设备负责在内网上搜集网络行为信息，分析各种攻击特征和网络行为的异常现象，能够快速识别各种攻击。在检测到入侵行为或异常行为后，网络入侵监测系统的控制台就会实时显示，并根据预先定义的事件响应规则报警，同时将报警信息写入日志，以备审计核查。优秀的入侵检测系统还可以与边界防火墙等设备形成互动，及时对入侵行为采取相应措施。
    企业网络通常被划分成不同的网段，为了阻止内部黑客，企业网络需要设立内网防火墙来限定在不同网段间的访问策略。与边界防火墙不同的是，内网防火墙可能需要支持除tcp/ip之外的其他协议。

    第三层 主机防护

    企业网络的核心是各种服务器和终端设备，这些设备正是黑客攻击的目标，对它们的防护构成了立体防黑体系的第三层——主机防护。主机防护由主机防火墙和主机入侵检测产品完成，这两者通常集成在同一个产品中，安装在被保护主机的操作系统上，并嵌入到操作系统的核心层。
    具体来说，主机防护系统可以让管理员准确确定哪些网络协议和地址可以进出系统，以保护和隐藏系统。 实时入侵检测不但能够监测到攻击，并且能够阻止攻击。一旦发现攻击，过滤引擎就会记录攻击并向用户报警。流量审核日志审核所有进出系统的流量，日志收集的数据可用于分析来自网上的攻击，以明确来源，确定防范对策。实时流量监测显示所有进出系统活动的连接。实时连接信息可以帮助网管员在关键时刻把服务器从网络服务中断开，系统管理员还可以利用这个工具做为“信息包嗅探器”来监测和分析本地系统流量。
    从以上分析我们可以看出，只有多层、立体的防黑安全体系才能给企业网络提供全方位、高质量的安全防护。