当人们谈及安全和入侵防御时，会冒出许多术语，并且含义不明确时，很容易会混淆。在深入讨论入侵防御之前，我们先来定义几个术语。我不会试图对所有文章中涉及的每个术语提供确定的答案，但是我给出它们在边界入侵防御策略中的定义。

　　防病毒

　　反间谍软件

　　反垃圾邮件

　　反网络钓鱼

　　入侵检测与防御系统

　　拒绝服务/分布式拒绝服务防御

　　内容过滤

　　应用程序控制与带宽管理

　　法规限制

　　防病毒

　　防病毒可能是边界安全中最常见的术语了，但是即使是这样一个简单的术语也有很多种定义。病毒、特洛伊木马程序、蠕虫病毒、以及恶意软件都是共同用于描述恶意（或许起初并非有害的）软件中的具体一种或另外一种形式的术语。例如，恶意软件的本质是和若虫不同的一种病毒。但是当我们说“防病毒”时，我们谈论的是检测是否存在这些有害软件中的任一种，并非仅仅是病毒本身。

　　病毒是一种可以感染其它应用程序的恶意软件。当这个应用程序由终端用户启动时，该病毒就被激活了，它既可以感染其它应用程序，也可以执行其罪恶的行为，比如随意删除你磁盘上的文件或者在你的Web浏览器上突然出现关于伟哥的广告。与病毒不同，蠕虫病毒既是独立的，又可以自动扩展；一旦感染了蠕虫病毒，人们将无法启动一个应用程序。特洛伊木马也是一种恶意软件，它可以伪装成一个合法的应用程序，但它不能扩展自己。

　　当然，黑客并不担心这些不同的分类——他们只是乐于使用特洛伊木马来携带一个蠕虫病毒的有效载荷，这个有效载荷也能像病毒一样传染应用程序。术语“混合威胁”通常就是用来描述这些混合病毒。

　　了解这些不同之处是非常重要的，理由是防病毒，尤其是在边界防病毒，可能拥有多种功能，可以在其生命周期内的不同时刻捕捉到不同类型的恶意软件。此外，你可能会在不同的环境中看到术语“防病毒”。

　　简单说来，防病毒技术在传输过程中查找恶意软件。最流行的恶意软件的自动扩展技术是通过电子邮件，这样的话扫描电子邮件中的恶意附件就是防病毒策略的重要组成部分。然而，恶意软件也可以留在Web站点上，边界防病毒扫描器也可以顺便检查Web数据流中的恶意软件。

　　这两项技术的问题在于它们不能保证从所见到的信息包重建病毒的有效载荷。加密的电子邮件和Web会议是一个问题，但是不标准端口上的Web信息流或者特定Web应用程序中的病毒也可能通过病毒扫描器。出于这个原因，边界的任何防病毒策略只能补充桌面上的防病毒程序。

　　第二个边界防病毒技术包括搜索病毒不当行为的标志。比如，著名的Code Red蠕虫病毒发送一个特殊的URL，进而扩散到IISWeb服务器中。边界防病毒技术可以通过计算机的行为发现Code Redf感染的计算机。这项技术仅在感染发生以后，对识别恶意软件有用。然而，与了解到有人被病毒感染了相比，首先保护用户免于受到病毒感染的用处大不了多少。也有一些入侵防御工具专门用于寻找恶意软件的传播迹象，并可以使用该信息帮助隔离那些受感染的系统。这些就是我们通常所知的“网络异常行为检测”（NBAD）系统。

　　反间谍软件

　　对你刚刚阅读的病毒方面的知识有了一定的了解以后，很容易就可以知道间谍软件（有时称为广告软件）是另一种恶意软件，并且采用相同的技术就可以检测到。间谍软件最普遍的传播方式是“隐蔽强迫下载”，在这种方式中，用户访问某个Web站点，并且作为一种副作用，将另外的软件下载在自己的计算机中。有时候，下载软件是在用户不知情的情况下进行的，或者Web站点可能试图故意迷惑用户，进而绕过浏览器的安全保护进行下载。用户甚至有意下载并安装间谍软件，通常是由于他们被欺骗性的宣传所误导，误认为该软件在某种程度上会提高他们的因特网技能。

　　至于原因最好留给阴谋论来解释，反间谍软件的处理方式通常与病毒不同。然而，寻找文件签名（尤其出现在网页中，比电子邮件信息中的更多）和异常行为的检测技术都与反间谍软件和防病毒技术有关。并且，与防病毒一样，桌面检测与防御策略必须增加一个边界防御。随着时间的推移，我们可以期待反间谍软件和防病毒软件将合并为一种工具，尽管现在市场上的风暴和骚乱已经导致许多企业不得不购买这两种工具，与这种日益严重的困境作斗争。

　　反垃圾邮件

　　与恶意软件检测相比，检测垃圾邮件难度要大得多，同时又要简单得多。因为任何大脑机能正常的人都可以产生出垃圾信息，新垃圾邮件的创造率相当高。同时，垃圾邮件只能通过电子邮件传播，所以改变这些信息流的方向，使之通过垃圾邮件过滤器，比捕获所有可能存在的病毒传播或者活跃的信息流要简单得多。

　　反垃圾邮件技术与防病毒技术的另一个不同之处是反垃圾邮件的警报误判（合法信息被标记为垃圾邮件或者垃圾邮件被标记为合法信息）率比防病毒软件要高得多。换句话说，更多的垃圾邮件（与病毒相比）通过，并且更多的信息（与病毒相比）被归类为垃圾邮件。结果，反垃圾邮件特征，比如终端用户隔离以及单个用户灵敏度设置与白名单，通常决定着终端用户的满意程度。

　　反网络钓鱼

　　多种有害的或者恶意的邮件，网络钓鱼邮件可由与垃圾邮件相同的方法检测出来。在技术层面上，任何反垃圾邮件工具同时也可以是反网络钓鱼工具。在市场层面上，把这两种威胁合并到同一个产品上的理念是无法抵抗的，因此产生了大量专门处理这两种威胁的工具。

　　由于反间谍软件与防病毒软件有关，因此，反网络钓鱼是与反垃圾邮件联系在一起的。所有能够处理反垃圾邮件的工具同时也擅长于处理网络钓鱼攻击。
　　
　　另一种基于网络行为的反网络钓鱼正在一些边界防护经销商中间流通。由于网络钓鱼电子邮件通常要求读者点击一个某个网页的链接，并提供了相关信息，理念是你可以帮助“受感染的用户”——他们受到网络钓鱼电子邮件欺骗，访问设有圈套的网址——通过采用NBAD系统捕获这些连接。结果是这种技术也是为标准的垃圾邮件服务的（因为用户被引导进入网站订购毒品、观看色情视频，以及购买股票），但是由于对用户的损害并不重大，一般不使用该技术。

　　现在，大量的边界入侵防御产品都在电子邮件中使用URL，此外，终端用户点击URL来检测来袭的垃圾邮件/网络钓鱼邮件并输出反应情况。本质上来讲，虽然这与用于检测正在传播或正在攻击的恶意软件的技术是相同的，但是，它致力于一种具体任务：阻止用户回应任何网络钓鱼电子邮件。