網(wǎng)絡(luò)安全系統(tǒng)主要依靠防火墻、網(wǎng)絡(luò)防病毒系統(tǒng)等技術(shù)在網(wǎng)絡(luò)層構(gòu)筑一道安全屏障，并通過(guò)把不同的產(chǎn)品集成在同一個(gè)安全管理平臺(tái)上，實(shí)現(xiàn)網(wǎng)絡(luò)層的統(tǒng)一、集中的安全管理。

　　網(wǎng)絡(luò)層安全平臺(tái)

　　如何構(gòu)建安全的網(wǎng)絡(luò)架構(gòu)的方案？選擇網(wǎng)絡(luò)層安全平臺(tái)時(shí)主要考慮這個(gè)安全平臺(tái)能否與其他相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品集成，能否對(duì)這些安全產(chǎn)品進(jìn)行統(tǒng)一的管理，包括配置各相關(guān)安全產(chǎn)品的安全策略、維護(hù)相關(guān)安全產(chǎn)品的系統(tǒng)配置、檢查并調(diào)整相關(guān)安全產(chǎn)品的系統(tǒng)狀態(tài)等。

　　一個(gè)完善的網(wǎng)絡(luò)安全平臺(tái)至少需要部署以下產(chǎn)品：

　　防火墻：網(wǎng)絡(luò)的安全核心，提供邊界安全防護(hù)和訪問(wèn)權(quán)限控制；網(wǎng)絡(luò)防病毒系統(tǒng)：杜絕病毒傳播，提供全網(wǎng)同步的病毒更新和策略設(shè)置，提供全網(wǎng)殺毒。

　　安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)劃分

　　防火墻主要是防范不同網(wǎng)段之間的攻擊和非法訪問(wèn)。由于攻擊的對(duì)象主要是各類(lèi)計(jì)算機(jī)，所以要科學(xué)地劃分計(jì)算機(jī)的類(lèi)別來(lái)細(xì)化安全設(shè)計(jì)。在整個(gè)內(nèi)網(wǎng)當(dāng)中，根據(jù)用途可以將計(jì)算機(jī)劃分為三類(lèi)：內(nèi)部使用的工作站與終端、對(duì)外提供服務(wù)的應(yīng)用服務(wù)器，以及重要數(shù)據(jù)服務(wù)器。這三類(lèi)計(jì)算機(jī)的作用不同，重要程度不同，安全需求也不同：

　　第一，重點(diǎn)保護(hù)各種應(yīng)用服務(wù)器，特別是要保證數(shù)據(jù)庫(kù)服務(wù)的代理服務(wù)器的絕對(duì)安全，不能允許用戶直接訪問(wèn)。對(duì)應(yīng)用服務(wù)器，則要保證用戶的訪問(wèn)是受到控制的，要能夠限制能夠訪問(wèn)該服務(wù)器的用戶范圍，使其只能通過(guò)指定的方式進(jìn)行訪問(wèn)。

　　第二，數(shù)據(jù)服務(wù)器的安全性要大于對(duì)外提供多種服務(wù)的WWW服務(wù)器、E-mail服務(wù)器等應(yīng)用服務(wù)器。所以數(shù)據(jù)庫(kù)服務(wù)器在防火墻定義的規(guī)則上要嚴(yán)于其他服務(wù)器。

　　第三，內(nèi)部網(wǎng)絡(luò)有可能會(huì)對(duì)各種服務(wù)器和應(yīng)用系統(tǒng)的直接的網(wǎng)絡(luò)攻擊，所以內(nèi)部辦公網(wǎng)絡(luò)也需要和代理服務(wù)器、對(duì)外服務(wù)器（WWW、E-mail）等隔離開(kāi)。

　　第四，不能允許外網(wǎng)用戶直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)。

　　上述安全需求，需要通過(guò)劃分出安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并通過(guò)VLAN劃分、安全路由器配置和防火墻網(wǎng)關(guān)的配置來(lái)控制不同網(wǎng)段之間的訪問(wèn)控制。劃分網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，一方面要保證網(wǎng)絡(luò)的安全，另一方面不能對(duì)原有網(wǎng)絡(luò)結(jié)構(gòu)做太大的更改，為此建議采用以防火墻為核心的支持非軍事化區(qū)的三網(wǎng)段安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

　　根據(jù)這種應(yīng)用模式，使用非軍事化區(qū)結(jié)構(gòu)的網(wǎng)絡(luò)拓?fù)涫且环N很自然的提高安全性的措施。如右圖所示，在防火墻上安裝三塊網(wǎng)卡，分別連接三個(gè)不同網(wǎng)段：外網(wǎng)、內(nèi)網(wǎng)和DMZ。安全設(shè)置如下：

　　三網(wǎng)段安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

　　1. 內(nèi)網(wǎng)用戶可以被授權(quán)訪問(wèn)外網(wǎng)和DMZ中的服務(wù)器；

　　2. 外網(wǎng)用戶只能夠訪問(wèn)到DMZ中的相關(guān)服務(wù)器，不能訪問(wèn)內(nèi)網(wǎng)；

　　3. DMZ還放置各種應(yīng)用服務(wù)器，應(yīng)用模式中，對(duì)應(yīng)的是各種Web服務(wù)器。這些服務(wù)器允許有控制地被各種用戶訪問(wèn)，也能主動(dòng)訪問(wèn)Internet。建議不允許DMZ服務(wù)器主動(dòng)訪問(wèn)內(nèi)網(wǎng)主機(jī)；

　　4. 在內(nèi)網(wǎng)某臺(tái)服務(wù)器上安裝網(wǎng)絡(luò)版防病毒軟件的系統(tǒng)中心，定制全網(wǎng)殺毒策略并監(jiān)控網(wǎng)絡(luò)病毒情況；

　　5. 通過(guò)網(wǎng)絡(luò)版防病毒軟件的漏洞檢測(cè)功能可以及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)機(jī)器存在的漏洞，及時(shí)查堵防患未然。

　　通過(guò)以上三個(gè)方面就可以構(gòu)建安全的網(wǎng)絡(luò)架構(gòu)了，謝謝閱讀，希望能幫到大家，請(qǐng)繼續(xù)關(guān)注腳本之家，我們會(huì)努力分享更多優(yōu)秀的文章。