网际网路的应用无远弗界，堪称为全民运动，电子商务的发展更加速其对于人类生活的影响，而各项导入所带来的风险，已将各种遭骇客入侵所造成的损害，由往日的科幻小说及电影中，直接移植于实际生活中，不再「虚拟」。

网际网路的新风险

传统的网路攻击事件大致来自「特定的专业人士」，其目标都是重要资讯网站，他们会尽各种「寻隙」的方法，找寻被攻击目标的安全漏洞空隙再试图入侵，往往完成一个攻击得花上数个月甚至更长的时间。通常这些「特定的专业人士」寻找的对象不外乎是军事单位、政府、银行或是特定企业，其目标在于造成事件显现入侵者的攻力。

到了最近，由于电子商务的蓬勃发展，越来越多的企业连向网际网路，而企业的重要资料也在网际网路间流动，甚至有许多公司没有网际网路几乎就无法营运。这给了许多竞争者、破坏者机会，利用网际网路来破坏公司的营运，偷窥公司的机密资讯。

最近有名的入侵攻击模式，就是分散式阻断服务攻击（Distributed Denial of Service Attack）模式，利用后门程式夹带在e-mail中，在利用e-mail Address Book的方法，将这只后门程式已感染的方式广泛的入侵在其他人的电脑中，利用特定的时间或控制指令，唤醒所有的后门程式，瞬间连往欲攻击的网站，造成被攻击网站的瘫痪。

祸起萧墙之内：木马屠城及后门虫软体之猖獗

今日的网际网路安全问题夹杂着许多复杂的元素，包括恶意入侵、资料窃取、病毒等。防火墙的主要功能就是网路存取的控管，防止非法的入侵。因此在传统的使用上，就是放置于网路的闸道处的连线。这样的功能就如大楼的警卫一般的对所有进出的连线做身分的检查与确认，以决定放行与否，然而许多非法的入侵，却是以「合法掩饰非法」骗过防火墙，而进入内部的网路。

而后门程式则是最常被运用的入侵模式，藉由将可执行档附加于各种看似无「骇」的资料上（如网路上到处可见的免费下载软体，或电子邮件附件）当企业内部员工不经意开启时，就在其电脑上装上后门软体。如此一来，即使企业有网路型防火墙保护，但除非公司的Policy是禁止员工收e-mail、或上网下载软体，（一般而言不太可能），内贼已随木马入城。后门程式之可怕，在于他一般没有固定之pattern，必须在他启动后才有办法抓到他，因此在闸道上将之绳之以法较为困难，而传统的网路安全架构对于这种入侵程式，完全束手无策。

区域联防：网路主机、伺服器、个人电脑一起来

面对如此多变的环境，往日着重于企业核心保护的网路安全概念早已不敷现实需求，而新一代的防卫观念也因应而生-- 那就是区域联防：不管是网路主机、伺服器或个人电脑，凡是会连上网路的各端点，都应该有相当的防护功能，以避免成为骇客入侵的罩门。

网路主机

网路型防火墙最主要的作用，就是强力执行公司的安全政策（Security Policy），将不必要的连线阻绝于外，以避免不必要的流量连结流入企业内部网路，造成流量负荷。网路型的防火墙更应加强Log的功能与分析的能力，当骇客事件不幸发生后，可给予相关单位有效的办案证据。

伺服器

伺服器型的防火墙，可针对企业内重要之主机设定更细微之安全政策，区域内部不必要的连线对重点主机，在效能与安全上达到最佳之平衡点，现在的主机在网际网路的应用上常扮演非常重要的角色，在效能的要求上也特​​别严格。因此在实际的操作上，有些企业基于效率的考量常把主机至于防火墙之外，这无疑是很大的风险，很多骇客即是利用这个弱点，入侵企业的主机，甚至利用此主机成为其攻击别人的跳板。而主机型防火墙正好可填补这部分之不足。

个人电脑

PC型防墙特别适用透过数位用户线路（xDSL）或电缆线数据机（Cable Modem）与企业进行远端连线的员工之个人电脑，作为侦测后门程式之防卫系统。它可针对单一PC的连线行为作控管，以避免后门程式由此PC蔓延至整个企业网路。任何由PC出来或进入此PC的不正常连线，皆会被PC型的防火墙所侦测而判定出来。

结论

在21世纪，电脑与网路已完全密不可分（随着网路而来的威胁将更趋复杂与多样）而过去只保护企业核心主机的贵族式安全设计已无法有效满足众人的需求，请参考(图一)。

《图一 企业网络安全架构建议图》

区域联防的概念就是希望网路上的每一个元件（Gateway、Server、PC）都能扮演好网路安全的角色，加强网路端、伺服器端与个人电脑端的安全控管与系统资源有无异常的监控，以有效塑造分散且即时的网路安全环境。