企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全防御體系的組成部分如下所述：

目前，雖然企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的生產(chǎn)網(wǎng)和辦公網(wǎng)之間有防火墻的隔離，但是二者交換數(shù)據(jù)時(shí)并沒(méi)有進(jìn)行IP 轉(zhuǎn)換，從本質(zhì)上來(lái)說(shuō)，二者都屬于統(tǒng)一網(wǎng)絡(luò)，所以我們這里將因此把生產(chǎn)網(wǎng)安全域和辦公網(wǎng)安全域都稱(chēng)為內(nèi)部安全域。每一個(gè)內(nèi)部安全域都配有一套完整的平臺(tái)，部署在辦公網(wǎng)，該平臺(tái)負(fù)責(zé)用戶(hù)管理和辦公網(wǎng)與生產(chǎn)網(wǎng)認(rèn)證授權(quán)，外網(wǎng)平臺(tái)負(fù)責(zé)對(duì)外部用戶(hù)的身份認(rèn)證和授權(quán)。

1 路由器

架構(gòu)網(wǎng)絡(luò)的第一層設(shè)備就是路由器，它也是網(wǎng)絡(luò)入侵者攻擊的首要目標(biāo)，因此路由器有必要設(shè)置一定的過(guò)濾規(guī)則，濾掉被屏蔽的IP 地址和服務(wù)。

2 防火墻

剛才我們?cè)谏衔闹幸呀?jīng)介紹過(guò)防火墻了。其執(zhí)行一種訪問(wèn)控制尺度，可以通過(guò)設(shè)置，分出可訪問(wèn)的IP地址和數(shù)據(jù)和不可訪問(wèn)的IP地址和數(shù)據(jù)，可訪問(wèn)的IP和數(shù)據(jù)進(jìn)入防火墻的內(nèi)部網(wǎng)絡(luò)，同時(shí)將禁止的用戶(hù)與數(shù)據(jù)拒絕，它可以最大限度地阻止網(wǎng)絡(luò)入侵者訪問(wèn)自己的網(wǎng)絡(luò)，并防止對(duì)內(nèi)網(wǎng)信息和數(shù)據(jù)進(jìn)行訪問(wèn)、修改和刪除。所以，防火墻是一種得到廣泛應(yīng)用且公認(rèn)安全高效的的網(wǎng)絡(luò)安全手段，是保證網(wǎng)絡(luò)安全的最重要的環(huán)節(jié)之一。

3 入侵監(jiān)測(cè)系統(tǒng)

在計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵部位安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IDS），可以對(duì)網(wǎng)絡(luò)和信息系統(tǒng)訪問(wèn)的異常行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)和報(bào)警。IDS可以監(jiān)測(cè)網(wǎng)絡(luò)上所有的包（packets），捕捉危險(xiǎn)或有惡意的動(dòng)作，并及時(shí)發(fā)出報(bào)警信息。

入侵監(jiān)測(cè)系統(tǒng)可以按照用戶(hù)指定的規(guī)則對(duì)端口進(jìn)行監(jiān)測(cè)、掃描。立體安全防御體系中普遍采用入侵監(jiān)測(cè)系統(tǒng)，以識(shí)別防火墻不能識(shí)別的攻擊，如來(lái)自企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的攻擊。目前，入侵檢測(cè)系統(tǒng)被認(rèn)為是對(duì)防火墻的必要補(bǔ)充，可對(duì)網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)入侵者，防治合法用戶(hù)對(duì)資源的錯(cuò)誤操作，與其他安全產(chǎn)品一起構(gòu)筑立體的安全防御體系。

4 物理隔離與信息交換系統(tǒng)

物理隔離與信息交換系統(tǒng)又稱(chēng)網(wǎng)閘，是運(yùn)用物理隔離網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì)的安全隔離系統(tǒng)。當(dāng)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部的生產(chǎn)系統(tǒng)因?yàn)樾畔⒒ㄔO(shè)過(guò)程中對(duì)外網(wǎng)訪問(wèn)的需求而影響內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性及可用性時(shí)，物理隔離與信息交換系統(tǒng)能夠?qū)?nèi)部網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)進(jìn)行物理隔斷，可以及時(shí)阻止各種已知和未知的網(wǎng)絡(luò)層和操作系統(tǒng)層攻擊，它提供的安全性能比防火墻、入侵檢測(cè)系統(tǒng)等技術(shù)更好，既保證了物理的隔離，又實(shí)現(xiàn)了在線實(shí)時(shí)訪問(wèn)不可信網(wǎng)絡(luò)所必需的數(shù)據(jù)交換。

5 交換機(jī)

局域網(wǎng)通常采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局。交換機(jī)是該格局的核心，其最關(guān)鍵的工作是實(shí)現(xiàn)訪問(wèn)控制功能和3 層交換功能。訪問(wèn)控制對(duì)于交換機(jī)就是利用訪問(wèn)控制列表ACL 來(lái)實(shí)現(xiàn)用戶(hù)對(duì)數(shù)據(jù)包按照源和目的地址、協(xié)議、源和目的端口等各項(xiàng)的不同要求進(jìn)行篩選和過(guò)濾。

6 應(yīng)用系統(tǒng)的認(rèn)證和授權(quán)支持

建立應(yīng)用系統(tǒng)能夠提升支撐平臺(tái)的安全性，應(yīng)用系統(tǒng)的保護(hù)功能包括以下幾個(gè)方面：

①應(yīng)用系統(tǒng)網(wǎng)絡(luò)訪問(wèn)漏洞控制。應(yīng)用系統(tǒng)要求軟件按照安全軟件標(biāo)準(zhǔn)開(kāi)發(fā)，在輸入級(jí)、對(duì)話路徑級(jí)和事務(wù)處理級(jí)做到安全無(wú)漏洞；集成的系統(tǒng)必須具有良好的自我恢復(fù)能力，避免內(nèi)部生產(chǎn)網(wǎng)中的系統(tǒng)因受攻擊而導(dǎo)致癱瘓、數(shù)據(jù)破壞或丟失。

②數(shù)字簽名與認(rèn)證。應(yīng)用系統(tǒng)須利用CA 提供的數(shù)字證書(shū)進(jìn)行應(yīng)用級(jí)的身份認(rèn)證，對(duì)文件和數(shù)據(jù)進(jìn)行數(shù)字簽名和認(rèn)證，保證文件和數(shù)據(jù)的完整性以及防止源發(fā)送者抵賴(lài)。

③數(shù)據(jù)加密。對(duì)重要的數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

7 操作系統(tǒng)的安全

將所有不使用的服務(wù)和端口關(guān)閉，并將不使用的磁盤(pán)文件清除，建立一個(gè)內(nèi)部網(wǎng)操作系統(tǒng)漏洞管理服務(wù)器，提供對(duì)官方補(bǔ)丁下載，以保證操作系統(tǒng)的安全性。

8 病毒防護(hù)

將系統(tǒng)診斷工具（如360）與網(wǎng)絡(luò)版的殺毒軟件（如NOD）相結(jié)合，可以構(gòu)成比較完整的病毒防護(hù)體系，能夠有效地防控病毒的傳播，保證網(wǎng)絡(luò)運(yùn)行的安全性和穩(wěn)定性。

9 網(wǎng)絡(luò)隔離度保障

對(duì)未經(jīng)過(guò)安全過(guò)濾和檢查就違規(guī)接入內(nèi)部網(wǎng)的移動(dòng)設(shè)備（筆記本電腦等）和新增設(shè)備進(jìn)行監(jiān)控；對(duì)內(nèi)部網(wǎng)中繞過(guò)防火墻的計(jì)算機(jī)或其他設(shè)備，違規(guī)接入網(wǎng)絡(luò)的行為進(jìn)行監(jiān)測(cè)；對(duì)物理隔離的網(wǎng)絡(luò)內(nèi)部設(shè)備違規(guī)接入因特網(wǎng)的行為進(jìn)行監(jiān)控；對(duì)違反規(guī)定將專(zhuān)網(wǎng)專(zhuān)用的計(jì)算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其他網(wǎng)絡(luò)的行為進(jìn)行監(jiān)控；可提供IP 和MAC 地址綁定功能。

企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的組成就為大家介紹完了，關(guān)于企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全防御體系的不安全因素和策略請(qǐng)讀者閱讀。

【編輯推薦】

1. 陜西省地稅層次化分布式網(wǎng)絡(luò)管理方案
2. Falconet網(wǎng)絡(luò)管理軟件2.3
3. 用只讀域控制器提高網(wǎng)絡(luò)管理效率
4. 如何應(yīng)對(duì)新的數(shù)據(jù)中心網(wǎng)絡(luò)管理問(wèn)題
5. 網(wǎng)絡(luò)管理系統(tǒng)也要“量體裁衣”
6. 應(yīng)對(duì)五大網(wǎng)絡(luò)安全威脅，你準(zhǔn)備好了嗎？