编者按：如何为企业部署一套安全的网络系统，这是大家一直在探讨的问题。本文是作者在某化工集团的几年实战经验，他通过防火墙、虚拟专用网（VPN）等多种手段，营建了一个安全稳固的企业网络，这或许对你有一定的参考意义。

　　【IT168 专稿】随着互联网市场的迅猛发展, 某化工集团通过20兆光纤接入internet的同时，病毒、木马、间谍程序等混合威胁也快速蔓延,要保护企业信息安全免于攻击，是一件非常头疼难题。面临挑战，企业怎样利用三层智能交换机，企业硬件防火墙，软件防火墙等安全产品，构造一体化的可行安全解决方案，把所有重要的安全功能集成起来，形成一种“软件＋硬件＋管理”特殊的综合安全防护体系，解决网络上复杂多变的威胁，既能够充分节约成本和利用有限的资源，又能有效地解决网络安全问题,下面是该集团改造后的企业安全方案拓扑图。

　　由于该企业网络复杂，计算机比较分散，必须保证服务器和PC都及时打好安全补丁,利用网络版病毒防火墙，通过网络控制台实施运行监控、配置修改、统一杀毒，补丁更新等全过程，实施集中式的管理，强制部署安全策略，利用病毒库升级探测技术，确保所有客户机上的病毒软件版本最新。杜绝超级用户的空密码,打好冲击波/振荡波/阻击波的补丁, 能遏制蠕虫病毒。

    第二 、内部网交流采用VPN通道

　　虚拟专用网（VPN）是通过一个internet建立的一个临时的、安全的连接，在公网上为用户提供虚拟的“专线”。该企业利用防火墙内置的VPN模块，采用国际标准IPSec作为VPN加密、认证的协议，与VPN网关、客户端软件建立加密隧道，实现外地用户与企业内部间的安全的网络交流，企业内部员工拥有合法的用户和口令，利用软件和硬件VPN加密狗等认证远程登陆企业的网络，实现了外网与内网间VPN的加密访问，保证异地之间安全的进行数据的传输，有效防止网络黑客的攻击。