控制网络访问是只是成功的一半——剩下的就是严密观察从那些防护旁溜过的或网络内部的任何威胁或高风险流量。

网络入侵检测系统（IDS）通过积极地观测网络流量和向管理员发攻击警告补充边界防火墙功能。入侵检测系统已在很大程度上让位给入侵预防系统（IPS）——一个不仅可以检测还可以阻止入侵的活跃系统。 UTM设备是其中一个部署IPS的方法；而另一种方法是最佳IPS系统。IPS也可以通过内置的无线LAN控制功能或者部署无线覆盖的IPS服务器和传感器应用于无线环境。

入侵阻止会将监测的流量与签名和协议规则进行对比，当发现有入侵时，IPS可以采取基于策略的行动断开该连接或对来源进行检查。不过，IPS的重关注于可信边界的流量：在防火墙之后，或在VPN集线器之后，无线主机连接的地方。

目前，公司还必须关心内部的活动，即在相同的可信组的系统之间的活动。服务器和主机之间非典型的交互可以作为攻击的证据，即使使用的是允许协议。为了解决这个问题，已经出现了一类新的安全产品：网络行为分析（NBA） 。它使用流量观测来发现流量峰、意外活动和违反安全策略的行为。如果IPS尚未部署的签名和终端安全补丁时，NBA可以帮助IPS描述出攻击的关系、标记异常和发现Zero-day攻击。

最后，在大型网络中，由于安全问题的复杂性急剧增加的，以至在没有协助的情况下管理员都无法有效地分析日志、警报和流量记录。安全信息管理（SIM）产品可以从网络设备、应用服务器、数据库、防火墙、VPN集中器、NAC设备、终端安全服务器等收集和汇总有关的安全数据。和NBA一样，SIM是一个较大型的企业应该给与关注的相对新的领域。

作者简介

Lisa A. Phifer是Core Competence Inc.的副总裁。25年来，她一直积极参与数据通信的设计、实现和评价、互联网络技术、安全和网络管理产品，并且在关于安全需要、产品评估、新兴技术使用和最佳方案方面，向公司提供了无数大大小小的建议。Lisa是一名著名的行业作家和演说家，特别是在网络安全和无线技术领域很有建树。