防火牆主要有兩個方面的侷限:
1、防火牆是訪問控制設備(ACL),主要基於源目IP地址來現實訪問控制,實現了網絡層的安全,但不能檢測或攔截注入在普通流量中的惡意***代碼,如WEB服務中的注入***等。
2、防火牆無法發現或攔截內部網絡中發生的***。
防火牆是實現網絡安全第一道防線,***檢測系統是對防火牆有益的補充,是第二道防線,可以對流量進行深層次、多層次的分析檢測,提供對內部***、外部***、誤操作等的實時監控,動態的保護大大提高了網絡的安全性。***檢測系統主要有3個方面特點:
1、事前警告:能在惡意***對網絡系統造成損害之前檢測到***行爲的發生,進行報警。2、事中防禦:******行爲發生時,可以聯動防火牆、或TCP KILLer等進行防禦。
3、事後取證:被******後可以提供***信息,以便取證分析。
關於防火牆和***檢測系統比較,有一個貼切的比喻:防火牆相當於門衛,對進入的每一個人員進行檢測,***檢測系統相當於閉路監控系統,監控關鍵位置如庫房、財務室等的安全狀況,僅有門衛是無法發現內部人員的非法行爲的,而閉路監控系統可以對內部實時監控,發現異常情況及時發出警告,兩者結合才能保證安全。