有必要再次強調，網絡的安全程度符合木桶原理，木桶盛水的多少壬能多的安全功能的想法。

這類產品和上面的問題類似，就是其IPS或防病毒功能全面啟用后的性能問題。漏報和誤報問題在這類產品中并不突出，畢竟，它們中的很多產品并不會把業已發現的所有病毒和攻擊都添加到特征庫中，它們更傾向于提供給用戶目前常見的攻擊防護，當然這部分也已經很龐大了。
網絡廠商提出安全網絡概念。在安全理念發生比較大變化的同時，不能忽視其中可能存在的問題。
網絡設備廠商通過客戶端軟件、交換機和安全認證策略服務器對網絡中每一個信息點進行控制，可以敦促每個用戶及時為軟件打補丁彌補漏洞，進行主動防御。它們提供抗DoS攻擊的交換機，引入了IDS和IPS以及防火墻，從網絡層到應用層進行全面防護。
在這類方案中，有幾處值得關注。一個是客戶端軟件，該軟件需要提供很強的對各種軟件的識別能力。此外，針對多種不同的操作系統平臺都應該進行控制。目前，多數這樣的方案只能提供Windows客戶端軟件。另一個是整體方案中的安全產品的能力問題。畢竟，網絡中IPS和防火墻還要履行它們一如既往的職責。而且，IDS等設備的能力直接影響著對客戶端的策略控制結果。因此，在強調整體的同時，必須意識到具體的工作還是需要個體來實施，實施的效果一部分壬能安全的網絡，選購盡可能優秀的產品或產品組合。
安全產品你來選
用戶在購買安全產品時，必需考慮到目前的安全威脅模型。即：攻擊向應用大舉進范；攻擊更多地發生在企業網絡內部; 信任模型的變化，僅僅通過用戶名/密碼認證的客戶端往往有意無意地充當著網絡的攻擊源。
因此，最好本著全面部署的思路去購買安全產品。包括客戶端準入及內網安全、邊界安全等方面。安全層次涉及網絡層、傳輸層到應用層。并且，通過客戶端準入策略的部署，盡可能地消除每一臺上網主機的安全隱患，實現主動防御。
內網安全
應該說，目前有幾個因素提升了內網的安全性。
邊界產品向內網延伸，體現在目前的防火墻產品上。
從端口密度來看，現在的防火墻已經擺脫了傳統的Internal、DMZ和External三端口模式，提供近10個或更多的端口，用戶可以將更多的內網子網用防火墻隔離開。而且，從防護的層次來看，有些防火墻也已經能夠對Windows網絡共享等應用進行安全過濾，這類特性的加入很大程度上是為內網的安全所考慮的。
專用內網安全產品的出現。
這種產品與傳統防火墻單純增加端口數目有很大的不同。它在應用層防御上增添了很多內容，比如針對HTTP蠕蟲的防御。部署方式也比較靈活，可以將其放在核心交換機與工作組交換機之間。這樣，就可提供對每個物理網段間的訪問控制，而且包括針對應用層的深度防御，這是三層交換機所不能的。當然，在內網的骨干鏈路上添加了這樣的設備，它應該在處理延遲上和交換機處于同樣的級別，不能因為安全性的提高而使用戶的千兆網絡的性能發生明顯變化。
另外，為保護內網重點網段或主機，還可以采用IPS。實際上，專用內網安全產品與IPS的防御功能有很多相似之處。
客戶端準入系統采取的是主動防御的理念。
那些沒有進行軟件升級或病毒庫更新的主機將受限通過網絡資源。準入系統可以提醒用戶并自動實現客戶端主機的軟件升級或病毒庫更新，然后客戶端主機才能完全接入網絡。當用戶進行端口掃描時，IDS會檢測到該行為并聯合策略服務器，指揮交換機做出反應，觸發訪問控制條目。監測異常行為并隔離的工作方式客觀上大大提高了內網的安全性。
當然，這類系統應該是開放的，網絡設備供應商和防病毒與IDS廠商技術很好的融合會使用戶更從容地購買。
邊界安全
邊界安全產品是企業內網與Internet之間的安全屏障。它的代表是防火墻，帶有防火墻功能的安全網關自然也位列其中，IPS則是邊界安全的新生力量。
雖然有數據表明，網絡攻擊行為中的70%是發生在內網。但這不意味著邊界安全的重要性要遜色于內網安全。正是由于人們以往更重視邊界安全而攔截了大部分的來自外網的攻擊。隨著Internet的普及，人們的網絡技能提高了，安全的威脅也就更大。即使企業可以通過主動防御來提高內網的抗攻擊能力，為了減小遭受攻擊的可能性，企業網也仍需要一個非常強大的網關產品，過濾掉大部分非法流量，對應用層安全進行檢察，并能隨時加入特征過濾掉新的攻擊。
防火墻
架構：有的用戶在選購防火墻時把產品的架構因素放在首位，即選用X86、ASIC、NP架構或是它們的某種組合。應該說，產品的架構決定了該產品的潛力，但并不代表該產品的能力。X86平臺的防火墻不是低性能的代名詞， ASIC +NP架構也不代表著防火墻有強大的性能和豐富的功能。好的產品是廠商在硬件平臺的基礎上進行卓越的開發才形成的。用戶要明白自己買的是產品未來的能力還是現在的能力或者是兼顧。
性能：針對防火墻的性能，一直都有個誤區。即把穿越防火墻的64字節UDP報文的吞吐量當作最重要的性能指標。這項數據對用戶到底有多少指導意義呢？試想，用戶哪里有純粹的64字節的UDP流量？現實一些，看看防火墻在添加了一兩百條過濾規則、添加了NAT后的Web性能怎樣，混合不同包長和協議后的延遲怎樣，在實施DoS攻擊情況下，防火墻啟動攻擊防御，看看此時穿越防火墻的VoIP的服務質量怎么樣,這些恐怕更有實際意義。
安全性：早在兩三年前，狀態檢測防火墻就可以做到基于IP地址和端口的訪問控制，可以識別某些動態協議。目前的安全威脅的形勢逼迫防火墻必須作出改進，最為突出的一點就是應用層安全。
也許有人會說應用層安全是IPS應該做的，防火墻的安全功能主要是在訪問控制。但目前的事實是，有的防火墻已經在應用層過濾方面邁出了一大步。試想，如果用戶的資金有限而無力購買IPS+傳統防火墻的組合，那這種實現了諸多IPS功能的防火墻將更容易得到用戶的青睞。而且，這些防火墻可以由用戶加入某種攻擊或安全隱患的特征，無需等到軟件升級就可實現對某種應用的控制。比如全球每天都在誕生新的P2P軟件，而且很多軟件使用80或443端口。通過加入它的應用層特征而非TCP或UDP端口號就可對其進行控制。
動態協議：支持那些使用動態端口的協議也是防火墻要面對的問題。最為典型的是VoIP應用。打算部署VoIP的用戶需要清楚自己將使用哪種VoIP設備，是基于H.323、SIP或是其他協議，有些防火墻只支持H.323而不支持SIP。有的防火墻不僅能夠支持多種VoIP協議并支持各種拓撲，而且還能對針對H.323的攻擊進行防御。
虛擬防火墻：作為新加入的一項防火墻功能，虛擬防火墻給用戶提供了更多的靈活度，不同的用戶可以享用不同的策略，就好像一臺防火墻被分成了若干獨立的防火墻一樣。對于主機托管環境，每個用戶面前都可以呈現出一臺虛擬防火墻。現在，越來越多的防火墻支持此項功能。
VPN：隨著大家廣泛接受用VPN組網，有的防火墻已經把它作為基本組件，并保證良好的兼容性。有的防火墻還能實現VPN內部的流量管理。VPN網關和認證管理等系統的結合部分體現著企業的外延安全性，不光是出差的內部員工，那些企業的合作伙伴也常常通過VPN訪問企業的網絡資源。
當人們還在爭論哪些是防火墻該做的工作，哪些產品不叫防火墻的時候，用戶應該擦亮自己的眼睛，產品的名稱并不重要，也許隨著防火墻在應用層的深入和逐漸滲透到內網，防火墻已經逐漸脫離最初的形態，它也該改名了。目前的安全威脅模型決定了你在網絡邊界應該實現哪些安全防御，結合自己的資金投入，選擇適當的產品或組合。