计算机安全学会（Computer Security Institute）本周发布了一项调查报告称，去年声称网站受到攻击的公司数量急剧增多。计算机犯罪与安全调查是由计算机安全学会与联邦调查局驻旧金山市办公室的一个计算机侵入调查小组共同展开的，调查发现在被调查的公司中有85%的公司的网站在2007年遭到了10次以上的攻击，比2008年上涨了5%。

为适应越来越多的用户向Internet上提供服务时对伺服器保护的需要，新一代防火墙採用分别保护的策略对用户上网的对外伺服器实施保护，它利用一张网卡将对外伺服器作为一个独立网路处理，对外伺服器既是内部网的一部分，又与内部网关完全隔离。这就是安全伺服器网路（SSN）技术，对SSN上的主机既可单独管理，也可设定成通过FTP、Telnet等方式从内部网上管理。

最初的防火墙只有两个网路接口，用于区域网路和外网的隔离，然而在防火墙的使用过程中，用户发现区域网路中的对外提供服务的伺服器（例如邮件伺服器、WWW伺服器等）比其他区域网路设备遭到入侵的可能性要高很多，而这些伺服器一旦被入侵，有可能会被作为跳板攻击整个区域网路。为了解决这个问题，需要在防火墙中增加一个网路接口，专门用于接入安全伺服器网路（SSN）。如图所示，在SSN网路中通常放置一些不含机密信息的公用伺服器。

SSN网路的访问策略描述如下：

1、区域网路可以访问SSN网路

区域网路可以通过FTP或Telnet管理SSN网路内的伺服器，并享受这些伺服器提供的服务。

2、外网可以访问SSN网路

SSN网路中的伺服器可以向外网提供服务。

3、SSN网路访问区域网路受限制

SSN网路不允许主动向区域网路发起连线请求，只允许回应区域网路的请求数据包。这样即使SSN网路中的伺服器遭到入侵，也不会对区域网路中的设备造成影响。

4、SSN网路不可以访问外网

SSN网路不允许主动向外网发起连线请求，只允许回应外网的请求数据包。该策略有例外情况，例如SSN网路中的邮件伺服器需要访问外网，否则不能正常工作。

区域网路和外网通过网路地址转换（NAT）访问SSN网路中的伺服器。网路地址转换是将一个地址域映射到另一个地址域，以达到隐藏网路地址的目的。SSN网路中的伺服器对内服务时映射成区域网路地址，对外服务时映射成外网地址。

来自于网路外部和内部的层出不穷的网路病毒、黑客攻击、非授权访问等对企业信息安全的危害已经到了十分严重的地步。黑客一般对所入侵的网站做如下危害性操作：篡改页面、损毁档案、盗取客户信息、操纵网路交易。

例：仅在3月18日一天，就有北京通州投资促进网、国家林业局野生动物保护司、石狮市地方税务局等几十家政府网站的首页或其它页面被黑客挂上了木马，同时北京语言大学、西南石油大学等十多所大专院校的网站也同样惨遭“挂马”。然而现在企业还是靠简单的防火墙、防病毒软体、入侵检测等独立、零散的安全部件已经不可能真正保护企业网路安全正常运转。 必须有一个系统、全面的安全产品与专业服务相组合的整体解决方案才能保障网路的真正安全；而中小企业很难建立完善的安全系统，更难建立一支专职的安全技术专家队伍，所以由专业的安全服务提供商利用高效的安全防火墙对网路进行安全管理控制，并结合网路的实际情况提供专家分析、建议及事件处理等专业服务，是解决安全问题的有效途径。

目前企业网的基础网路设备及组网模式已非常成熟和稳定，其建设相对比较简单，企业自己来建设和维护无论从技术还是建设难度来讲都不太大 ，但关键的网路安全防护工作对于各级别的企业，都存在很大的技术难度，而这方面一旦出现问题，对企业的正常运行将造成重大危害。