入侵行为仍然无计可施。普通的防火墙设计旨在拒绝那些明显可疑的网络流量(例
如,企业的安全策略完全禁止 Telnet 访问,但仍有某些用户试图通过 Telnet 访
问某个设备),但仍允许某些流量通过(例如,发送到内部 Web 服务器的 Web 流
量)。
问题在于,很多攻击都会尝试利用那些外围防火墙允许通过的协议的漏洞,
而且,一旦 Web 服务器遭到攻击,攻击者会以此为跳板继续对其它内部服务器发
起攻击。一旦服务器上被安装了“rootkit”或“后门”,那么黑客们就能够在未
来的任何时间里“大摇大摆”地访问这台机器。
一般来说,我们仅将防火墙部署在网络外围。但很多攻击,无论是全球性攻
击还是其它类型的攻击,往往都是从组织内部发起的。虚拟专用网、便携式计算机
以及无线网络都能够接入到内部网络,而且经常会越过防火墙。入侵检测系统在检
测可疑活动时可能很有效,但却不能提供对攻击的防护。臭名昭著的蠕虫(例如
Slammer 和 Blaster)都具有惊人的传播速度,当系统发出警报时,蠕虫实际上已
经导致了损失,而且正在飞速地向外扩散。
