作为网络信息安全策略的重要组成部分，安全评估产品在安全体系中的作用和重要性已经逐步被人们所认识，但是，在部署和使用安全评估产品时，很多人还存在一些认识上的误区。下面我们对常见的三个误区做一简单分析：

　　误区一：有了防火墙就有了一切

　　实际上，防火墙作为网络安全策略中的一个组成部分，不能保证安全，只能加强安全性，难以抵御黑客的攻击。原因有下面几点：

　　1.防火墙难以防范网络内部的入侵行为。安全威胁往往并不全来自外部，很大一部分来自内部。而防火墙通常只能内外网之间的通信进行过滤，而不干预内部网上的数据流，因此对内部入侵行为它无能为力。

　　2.防火墙对网络外部入侵的防护作用是有限的。现在防火墙阻止外部入侵的主要方法是基于对IP地址和服务端口等等的访问控制，通常不对内容过滤，这样可以禁止“非法”连接，抵御多数攻击手段。但是，这种方法对于现在大量出现的针对IIS服务器的攻击毫无用处，因为防火墙无法将针对IIS服务器的攻击行为与普通用户的浏览行为相区分。

　　3.防火墙不能完全保证内外网络的隔离。防火墙充当了外部网和内部网的一个屏障，但是并不能保证所有的外部访问都是通过防火墙的。比如，一个未经认证的调制解调器把内部网连到了外部网，就对系统的安全构成了威胁。

　　4.防火墙本身可能存在安全问题，有可能被黑客攻破。这个问题有两个层面：首先，导致其它网络软件出现安全漏洞(如缓冲区溢出)的程序编写错误，在防火墙软件自身上也可能出现；其次，防火墙软件也要运行在一定的操作系统上，操作系统的安全漏洞也将被防火墙系统继承。实际上，防火墙系统本身，也是安全评估的对象。

　　误区二：安全评估就是安全扫描

　　在发展的早期，安全评估产品只是简单地把安全扫描的执行结果罗列出来，直接提供给测试者，而不对信息进行任何分析处理。经过几年的发展，现在优秀的安全评估产品，除了最基本的安全扫描功能外，都能够对扫描结果进行说明、给出建议，对系统总体安全状况作出个评价，同时以多种方式生成包括文字、图表等内容的报表。这也是安全评估产品与普通的扫描软件的最大区别。

　　以中科网威“火眼”网络安全评估系统的报表分析系统为例，它不仅仅有对具体扫描结果的详细解释和漏洞修补方法，还可以根据扫描所得数据按一定的标准对系统安全性给出客观的评价，并给出建议方案；而且还提供了约三十种报表模板，为用户浏览评估结果和生成恰当的报告提供了极大方便的条件。

　　误区三：安全扫描就是针对操作系统和应用软件漏洞的扫描

　　在一次安全产品展上发生过这样一幕：一位客户反映他使用的安全评估系统在安全扫描时，把“被扫描系统打开了FTP服务”作为轻微危险报告出来，客户抱怨说，这怎么能算是有危险呢，开启FTP服务难道算是漏洞吗？其实，这位客户对安全扫描的含义有误解。安全扫描，包括对目标的信息搜集和脆弱性扫描分析，而系统和软件的漏洞仅仅是导致系统脆弱性的一个方面，错误的软件配置和开启了任何服务同样会使系统被入侵的几率增加。因此，安全评估系统在安全扫描时，绝不是仅仅扫描漏洞，还包括对目标进行配置检查、信息搜集等等工作，给出会使系统易受攻击的弱点分析。以中科网威“火眼”网络安全评估系统为例，它能够对Windows NT/2000主机的注册表进行全面的检查，帮助管理员提高系统的安全等级。