Unix主机系统安全漏洞存在的必然性的分析我们已经向大家介绍了，从中，可以看出网络的安全取决于方方面面的因素，分散于网络的的各个环节，应该采取的相应的防范措施也有很多，单一的防范也是不够的。但所有的攻击和防守的最终目标几乎都是网络上的主机系统。

因为主机系统上存储、处理和传输各种重要数据，可以说主机的安全问题是Internet安全的核心问题之一，是Internet实现安全性的关键。因此，主机系统的安全防护也是整个安全策略中非常重要的一环。

主机的安全性基本上依赖于三个方面：无错的操作系统代码和应用程序设计；良好的系统配置；功能与安全性之间适当的平衡。

基本上讲，处理网络和主机安全问题主要有两种方法，即允许访问和拒绝访问。

允许访问：在这种安全方式中，指定的用户必须具有某种特权或符合一定的标准才能够进行访问。

拒绝访问：这种安全方式是对某一网络和主机资源访问的一个拒绝。在这种方式中，根据一套标准来否决用户的访问，规定了用户被拒绝访问的特性。

实践表明，只有达到允许访问和拒绝访问之间的最佳平衡，才能获得Web服务器主机系统安全的最优化，偏执任何一方要么制约Web服务器的可用性，要么出现严重的安全漏洞，应使二者一起协同工作。

主机漏洞扫描器是实现允许访问和拒绝访问之间最佳平衡的主要工具，因为拒绝访问安全方式的主要目的之一是封堵漏洞限制访问避免攻击，允许访问安全方式的前提之一也是不会由此产生系统漏洞，这说明避免系统漏洞是允许访问和拒绝访问之间的一个重要的平衡点，而主机漏洞扫描器恰恰是发现系统漏洞的主要工具。

主机漏洞扫描系统是一种自动检测本地主机安全性弱点的程序。它以系统管理员的身份对所维护的服务器进行特征扫描，从主机系统内部检测系统配置的缺陷，模拟系统管理员进行系统内部审核的全过程，发现能够被黑客利用的种种误配置。

实际上，能够从主机系统内部检测系统配置的缺陷，是系统管理员的漏洞扫描器与黑客拥有的漏洞扫描器之间在技术上的最大区别。黑客在扫描目标主机漏洞阶段，即在攻击准备阶段，是不可能进行目标主机系统内部检测的。

定期对主机系统进行漏洞扫描，在一定程度上能让系统管理员间接地或直接地了解到所维护的网络服务器所存在的安全问题。

【编辑推荐】

1. Unix系统的安全策略
2. 解析Unix下的缓冲区溢出防御体系
3. Unix系统的安全策略之常用命令解析
4. Unix主机漏洞扫描器的设计与实现之背景和必然性分析