防火墙和其它反病毒类软件都是很好的安全产品，但是要让你的网络体系具有最高级别的安全等级，还需要你具有一定的主动性。
你是不是每天都会留意各种黑客攻击、病毒和蠕虫入侵等消息？不过当你看到这些消息时，也许你的系统已经受到攻击了。而现在，我要给你介绍一种更具主动性的网络安全模型，通过它，就算再出现什么新病毒，你也可以对企业的网络系统感到放心。
类似于防火墙或者反XX类软件(如反病毒、反垃圾邮件、反间谍软件等)，都是属于被动型或者说是反应型安全措施。在攻击到来时，这类软件都会产生相应的对抗动作，它们可以作为整个安全体系的一部分，但是，你还需要建立一种具有主动性的安全模型，防护任何未知的攻击，保护网络安全。另外，虽然在安全方面时刻保持警惕是非常必要的，但是事实上很少有企业有能力24小时不间断的派人守护网络。
在实现一个具有主动性的网络安全架构前，你需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面：防火墙、VPN、反病毒软件，以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包，但是它并不能识别入侵，而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道，但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的，而且面对黑客攻击，基本没有什么反抗能力。同样，入侵检测系统也是一个纯粹的受激反应系统，在入侵发生后才会有所动作。
虽然这四项基本的安全措施对企业来说至关重要，但是实际上，一个企业也许花费了上百万购买和建立的防火墙、VPN、反病毒软件以及IDS系统，但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞，它可以被黑客利用，用来攻击网络、窃取信息，并使网络瘫痪。据2004 E-Crime Survey(2004 电子犯罪调查)显示，90%的网络安全问题都是由于CVE引起的。
具有主动性的网络安全模式是对上述四种安全措施的综合管理，使得用户可以从这四种安全措施中获得最大的安全性，同时也是为用户添加一个漏洞管理系统。在这种系统中，一个更有效的防火墙可以正确的拦截数据资料。一个更有效的反病毒程序则更少机会被激活，因为攻击系统的病毒数量更少了。而IDS则成为了一个备份系统，因为很少人能入侵系统而激活报警机制。而使用漏洞管理系统来防止CVE带来的入侵则是整个系统最重要的部分。
为什么这么说呢？从上面提到的调查看，95%的攻击是由于系统的漏洞或对系统的错误配置而造成的。在现实生活中也是一样，大家都试图将窃贼拒之门外，而很少考虑到当盗贼已经进入屋子后该怎防护。正如你不会在外出时让大门敞开，为什么不给网络再加一把锁呢。