编者按：如何为企业部署一套安全的网络系统，这是大家一直在探讨的问题。本文是作者在某化工集团的几年实战经验，他通过防火墙、虚拟专用网（VPN）等多种手段，营建了一个安全稳固的企业网络，这或许对你有一定的参考意义。

　　【IT168 专稿】随着互联网市场的迅猛发展, 某化工集团通过20兆光纤接入internet的同时，病毒、木马、间谍程序等混合威胁也快速蔓延,要保护企业信息安全免于攻击，是一件非常头疼难题。面临挑战，企业怎样利用三层智能交换机，企业硬件防火墙，软件防火墙等安全产品，构造一体化的可行安全解决方案，把所有重要的安全功能集成起来，形成一种“软件＋硬件＋管理”特殊的综合安全防护体系，解决网络上复杂多变的威胁，既能够充分节约成本和利用有限的资源，又能有效地解决网络安全问题,下面是该集团改造后的企业安全方案拓扑图。

　　由于该企业网络复杂，计算机比较分散，必须保证服务器和PC都及时打好安全补丁,利用网络版病毒防火墙，通过网络控制台实施运行监控、配置修改、统一杀毒，补丁更新等全过程，实施集中式的管理，强制部署安全策略，利用病毒库升级探测技术，确保所有客户机上的病毒软件版本最新。杜绝超级用户的空密码,打好冲击波/振荡波/阻击波的补丁, 能遏制蠕虫病毒。

    第二 、内部网交流采用VPN通道

　　虚拟专用网（VPN）是通过一个internet建立的一个临时的、安全的连接，在公网上为用户提供虚拟的“专线”。该企业利用防火墙内置的VPN模块，采用国际标准IPSec作为VPN加密、认证的协议，与VPN网关、客户端软件建立加密隧道，实现外地用户与企业内部间的安全的网络交流，企业内部员工拥有合法的用户和口令，利用软件和硬件VPN加密狗等认证远程登陆企业的网络，实现了外网与内网间VPN的加密访问，保证异地之间安全的进行数据的传输，有效防止网络黑客的攻击。

    第三、 科学配置防火墙

     企业利用三星NXG-150防火墙，eth0接internet,eth1接内部网络，eth2－eth4接生活区和WEB服务器，所有进出受控网络的流量集中防火墙上，这样做的好处是一旦发生故障能迅速恢复。防火墙经过数据包状态检测过滤/IPS防御功能/VLan/流量控制/内容过滤/策略时间表/地址绑定等策略的实施，大部分黑客的攻击被防火墙拒于企业网络之外，具体策略如下：
   
* 封堵各种病毒端口：为了减轻互联网病毒对企业内网的侵犯，企业封住了135/136/137/138/139/389/445/539/1025/1068/1978/2754/3127/3128/4444/4899/5554/5800/6128/6588/6667/9995等端口。

* 网络区域划分：防火墙必须保护内部关键网络eth1口的安全，eth2－eth4口（WEB服务器/社区宽带网）规划在非军事区（DMZ），DMZ可以全面访问因特网，但只能有限制性地访问内部网络，把有风险的网络活动隔离在企业内部网之外。

* 在防火墙上实施MAC地址和IP地址的绑定,有效控制IP冒用现象。
* 通过对BT服务器的封锁,以及带宽限制及会话数限定的方式,有效控制P2P的下载具体办法:简单的是通过单个IP会话数的限制控制P2P软件的使用.

* 在防火墙对厂区局域网实行分组管理,设置不同权限,限制对互联网资源的访问，限制时间段,限制开放端口。

* 对厂区局域网用户按需开放端口的策略,有效控制职工上班时间玩网络游戏的现象，仅打开HTTP/HTTPS/POP/SMTP/FTP/VOIP/MSSQL等基本协议。

* 在防火墙上阻断各种黑客攻击行为,防止非授权的访问,并通过和报警功能对攻击性为进行记录备查，有助于跟踪实施攻击的不法分子的入侵手法和漏洞。

　　第四、加固企业内网

    局域网内部安全威胁可以直接深入脊髓,弥补的有效办法就是加强内部安全管理。怎样建立一个可信、可控的内部安全网络，内网的客户端必须按照安全管理要求呢？

1、 移动设备：笔记本电脑、PDA、移动盘等移动设备每日进出网络，合法用户致使网络感染病毒，或者无意中导致被攻击。主要加强IP地址管理，所有接入内网的终端设备，通不过IP-Mac绑定验证，则阻断网络访问幷报警给管理员，有效地防止了外来设备的非法接入。

2、 加强口令管理：创建口令规则，避免空口令，幷严格执行，从而大大增强对黑客木马的防御能力。

3、 非法外联问题：减少内部人员在计算机上安装使用盗版软件，强制安装防毒软件，对于随意使用一些黑客软件，从内部发起攻击，防火墙监控，一旦出现攻击则停止访问60分钟，网管及时处理。

　　第五、灾后的系统迅速还原

    内网中的服务器是资源共享或保障生产、管理体系正常运行的基础，尽管我们采取了很多措施,但是并不能百分百不出问题. 如果服务器宕掉或出现问题，将影响到内网整个信息安全体系。因此我们要有两手准备,亡羊补牢为时不晚,在最短的时间内使网络恢复正常,做好路由器/防火墙/服务器的应急方案恢复机制，推广GHOST克隆技术，安装一键恢复软件和光盘刻录重要资料等措施保证能在短时间内恢复系统。
  
　　化工集团通过花费几万元购买防火墙，利用企业自有的交换机，进行周密安全策略考虑和部署科学配置策略，提供一体化的安全保护解决方案，将企业网络安全问题简单化，运行近一年，包括社区计算机在内600多台计算机，没有出现太大的网络阻塞问题，OA服务器、WEB服务器、生产数据库没有受到明显的攻击。