整体的安全方案分成技术方案、服务方案以及支持方案三部分。

　　一、技术解决方案

　　安全产品是网络安全的基石，通过在网络中安装一定的安全设备，能够使得网络的结构更加清晰，安全性得到显著增强；同时能够有效降低安全管理的难度，提高安全管理的有效性。

　　下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。

　　1、防火墙

　　安装位置：局域网与路由器之间；WWW服务器与托管机房局域网之间；

　　局域网防火墙作用：

　　（1） 实现单向访问，允许局域网用户访问INTERNET资源，但是严格限制INTERNET用户对局域网资源的访问；

　　（2） 通过防火墙，将整个局域网划分INTERNET，DMZ区，内网访问区这三个逻辑上分开的区域，有利于对整个网络进行管理；

　　（3）局域网所有工作站和服务器处于防火墙地整体防护之下，只要通过防火墙设置的修改，就能有限绝大部分防止来自INTERNET上的攻击，网络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞；

　　（4）通过防火墙的过滤规则，实现端口级控制，限制局域网用户对INTERNET的访问；

　　（5）进行流量控制，确保重要业务对流量的要求；

　　（6）通过过滤规则，以时间为控制要素，限制大流量网络应用在上班时间的使用。

　　托管机房防火墙的作用：

　　（7） 通过防火墙的过滤规则，限制INTERNET用户对WWW服务器的访问，将访问权限控制在最小的限度，在这种情况下，网络管理员可以忽略服务器系统的安全漏洞，只需要关注WWW应用服务软件的安全漏洞；

　　（8）通过过滤规则，对远程更新的时间、来源（通过IP地址）进行限制。

　　2、入侵检测

　　安装位置：局域网DMZ区以及托管机房服务器区；

　　IDS的作用：

　　（1） 作为旁路设备，监控网络中的信息，统计并记录网络中的异常主机以及异常连接；

　　（2）中断异常连接；

　　（3）通过联动机制，向防火墙发送指令，在限定的时间内对特定的IP地址实施封堵。

　　3、网络防病毒软件控制中心以及客户端软件

　　安装位置：局域网防病毒服务器以及各个终端

　　防病毒服务器作用：

　　（1） 作为防病毒软件的控制中心，及时通过INTERNET更新病毒库，并强制局域网中已开机的终端及时更新病毒库软件；

　　（2）记录各个终端的病毒库升级情况；

　　（3）记录局域网中计算机病毒出现的时间、类型以及后续处理措施。防病毒客户端软件的作用：

　　(4) 对本机的内存、文件的读写进行监控，根据预定的处理方法处理带毒文件；

　　(5) 监控邮件收发软件，根据预定处理方法处理带毒邮件；

　　4、邮件防病毒服务器

　　安装位置：邮件服务器与防火墙之间

　　邮件防病毒软件：对来自INTERNTE的电子邮件进行检测，根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件（对于压缩文件同样也进行检测）

　　5、反垃圾邮件系统

　　安装位置：同邮件防病毒软件，如果软硬件条件允许的话，建议安装在同一台服务器上。

　　反垃圾邮件系统作用：

　　(1) 拒绝转发来自INTERNET的垃圾邮件；

　　(2) 拒绝转发来自局域网用户的垃圾邮件并将发垃圾邮件的局域网

　　用户的IP地址通过电子邮件等方式通报网管；

　　(3) 记录发垃圾邮件的终端地址；

　　(4) 通过电子邮件等方式通知网管垃圾邮件的处理情况。

　　6、动态口令认证系统

　　安装位置：服务器端安装在WWW服务器（以及其他需要进行口令加强的敏感服务器），客户端配置给网页更新人员（或者服务器授权访问用户）；

　　动态口令认证系统的作用：

　　通过定期修改密码，确保密码的不可猜测性。

【责任编辑 彭凡】