网络漏洞扫描系统的必要性(1)

　　随着计算机技术、网络技术的飞速发展和普及应用，网络安全已日渐成为人们关注的焦点问题之一。近几年来，安全技术和安全产品已经有了长足的进步，部分技术与产品已日趋成熟。但是，单个安全技术或者安全产品的功能和性能都有其局限性，只能满足系统与网络特定的安全需求。

　　因此，如何有效利用现有的安全技术和安全产品来保障系统与网络的安全已成为当前信息安全领域的研究热点之一。

　　首先，让我们来看看现阶段网络上使用最多的安全设备防火墙和入侵检测。为了确保网络的安全使用，研究它们的局限性和脆弱性已经十分必要。

　　一、防火墙的局限性和脆弱性

　　防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施，但是它也存在局限性。

　　1、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查，比如拨号上网。

　　2、防火墙不能解决来自内部网络的攻击和安全问题。"外紧内松"是一般局域网络的特点，一道严密防守的防火墙其内部的网络也有可能是一片混乱。如通过社会工程学发送带木马的邮件、带木马的URL等方式，然后由中木马的机器主动对攻击者连接，将瞬间破坏象铁壁一样的防火墙。另外，防火墙内部各主机间的攻击行为，防火墙也只能如旁观者一样冷视而爱莫能助。

　　3、防火墙不能防止最新的未设置策略或错误配置引起的安全威胁。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker把第一个攻击对象选中了您的网络，那么防火墙也没有办法帮到您。

　　4、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。