“多层次防护”就是应用和实施一个基于多层次安全系统的全面信息安全策略，在各个层次上部署相关的网络安全产品以增加攻击都侵入时所需花费的时间、成本和资源，从而有效地降低被攻击的危险，达到安全防护的目标。目前，多层次防护已经成为网络安全的主流策略。

　　核心策略分层安全防护

　　在网络安全领域，往往其进步是同一些具有标志性概念的提出联系在一起的，“分层安全防护”就是这样一个概念。它提出了这样一种思路：结合不同的安全保护因素，例如防病毒软件、防火墙和安全漏洞检测工具，来创建一个比单一防护有效得多的综合保护屏障。分层的安全防护成倍地增加了黑客攻击的成本和难度，从而大大减少了他们的攻击频度。分层的安全防护技术具体来说包括攻击检测、攻击防范、攻击后的恢复三个大方向，其中每一个方向有一个代表性的产品：入侵检测系统负责进行攻击检测，防火墙和强制访问控制系统负责攻击防范，攻击后的恢复则由自动恢复系统来解决。这三大方向体现了在网络安全防护上的多层安全防护的思想。下面我们就多层次保护中的主要环节做具体说明。

　　入侵检测

　　入侵检测系统是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源等不良行为的系统。入侵检测系统是近年出现的新型网络安全技术，其目的是提供实时的入侵检测及采取相应的防护手段。选择入侵检测系统，应特别注意其主要性能的情况，包括：协议分析及检测能力、解码效率(速度)、自身安全的完备性、精确度及完整度／防欺骗能力、模式更新速度，等等。

　　入侵检测系统是分层安全中日益被普遍采用的成分，它将有效地提升黑客进入网络系统的门槛。入侵监测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统，例如防火墙。识别防火墙通常不能识别的攻击，如来自企业内部的攻击；在发现入侵企图之后提供必要的信息，帮助系统移植。

　　防火墙

　　由于入侵检测系统有漏洞存在，防火墙就成为多层安全防护中必要的一层。一个防火墙为了提供稳定可靠的安全性，必须跟踪流经它的所有通信信息。为了达到控制目的，防火墙首先必须获得所有通信层和其它应用的信息，然后存储这些信息，还要能够重新获得以及控制这些信息。防火墙仅检查独立的信息包是不够的，因为状态信息是控制新的通信连接的最基本的因素。对于某一通信连接，通信状态(以前的通信信息)和应用状态(其他的应用信息)是对该连接做控制决定的关键因素。因此，为了保证高层的安全，防火墙必须能够访问、分析和利用通信信息、通信状态、应用状态，并做信息处理(基于以上所有元素的灵活的表达式的估算)。

　　安全漏洞评估系统

　　安全漏洞评估系统是一个漏洞和风险评估工具，用于发现、发掘和报告网络安全漏洞。一个出色的安全评估系统不仅能够检测和报告漏洞，而且还可以发现漏洞发生在什么地方以及发生的原因。它在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞；还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。这就使得风险分析更加精确，并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。最新的漏洞评估系统还采用了独特的“路径分析技术”，用以发现漏洞的根本原因。通过分析漏洞的根本原因，任何重复的漏洞、模式或异常的现象很容易被确定到是否是重要问题，或被确定到网络中的系统并且迅速被排除。

　　防病毒软件

　　防病毒软件的应用也是多层安全防护的一项必要措施。它是专门为防止已知和未知的病毒感染你的信息系统而设计的。它的针对性很强，但是需要不断更新，而且存在一定的片面性。

　　赛门铁克让多层防护生效

　　让我们看看多层防护策略是如何发挥作用的。即使网络中的入侵检测系统失效，防火墙、安全漏洞评估和防病毒软件还会起作用。配置合理的防火墙能够在入侵检测系统发现之前阻止最普通的攻击。安全漏洞评估能够发现漏洞并帮助清除这些漏洞。如果一个系统没有安全漏洞，即使一个攻击没有被发现，那么这样的攻击也不会成功。即使入侵检测系统没有发现已知病毒，防火墙没能够阻止病毒，安全漏洞检测没有清除病毒传播途径，防病毒软件同样能够侦测这些病毒。所以，在使用了多层安全防护措施以后，企图入侵你的公司的信息系统的黑客要付出成数倍的代价才有可能达到入侵目的。这时，你的信息系统的安全系数得到了大大的提升。

　　网络安全的多层防护并不是一个空洞的概念和设想，而是当今领先的专业厂商正在提供的网络安全系列产品和全面解决方案。在这方面，积极倡导并大力实践多层次防护的赛门铁克公司正在这样做。赛门铁克企业安全系列结合了三种技术，包括防毒、过滤解决方案与入侵防护，在收购了Axent之后，更扩展了关于这三方面各项解决方案。在每一领域中，赛门铁克均不断开发出可以支持主要作业平台(如Linux、Unix、Windows NT、Windows 2000、Windows Me等)的各项技术，并在网络上部署多层防护，从防火墙、网络或电子邮件网关口，到服务器或工作站。赛门铁克在完成了AXENT收购案后，还开发并推出了内容过滤、电子邮件扫描与入侵防护等应用于多层防护的一系列新技术、新产品。此外，赛门铁克企业安全系列还添加了与IBM合作开发完成的数字免疫系统(DIS)，并正积极建立全球性的专业服务与安全咨询业务。所有这些，并结合赛门铁克著名的管理工具，包括远程遥控方案(pcAnywhere)、存储方案克隆精灵(Ghost)与中央控管中心(System Center)，使得赛门铁克能够为企业提供网络安全多层次保护的有效策略和完整方案。

　　100%的安全性是不可能达到的；如果你拥有多层安全防护系统，那么，黑客渗透进来的成本就更高，他们就需要更多的资源，而这些都是大多数潜在的黑客做不到的。多层安全防护系统使得入侵者更可能放弃对你系统的攻击。