内部攻击防不胜防

　　然而，当黑客发现不能直接从外部网络攻击服务器时，他们可以采用一种间接的方法，以内部员工的计算机为跳板，实现对服务器的攻击。一般方法是：通过各种手段(例如：网页挂马，社会工程邮件等)在员工的计算机上安装木马，控制内部员工的PC，然后从内部员工的PC上发动对服务器的攻击。如图2所示。

　　图2

　　面对这种类型的攻击，防火墙是无能为力的。问题的根源在哪里呢?

　　我们可以对比一下民航安保的过程。

　　首先，当乘客进入候机大厅时，安检人员会检查乘客的身份证。

　　其次，安检人员会扫描乘客所携带的随身物品，以确保没有危险物品被带上飞机。

　　最后，在飞行途中，当乘客有危害航空安全的行为时，飞机上的空警会予以制止。

　　对比民航安保的过程，我们可以发现，防火墙执行访问控制，相当于检查了乘客的身份证(限制只有内网计算机才能访问服务器)。但对终端的安全状态(是否已经中了木马)没有做进一步的检查;对终端的访问行为(是否使用恶意软件攻击服务器)没有做进一步的限制。

　　总结来说，防火墙只检查终端的IP地址，接下来就默认终端是安全的，终端的访问行为是合法的;黑客正是利用这一安全漏洞，以内部终端作为跳板，发起对服务器的攻击。