门户网站 其安全性往往与办公 局域网相同。 但由于门户网站很容 易额外受到专门针对 网站的恶意攻击，因 此我们还需要额外串 入web防火墙和网页 防篡改系统
办公局域网 网络安全要求较高的企 业办公域 1、其与internet交换数据 时需要接入较多的控制 和审计。 2、它对“业务内网”访问 时也需要所有途经网络 安全设备的控制和审计。
IPSEC VPN IPSEC VPN有两种接入内网的方式 1、IPSEC VPN可以单独在中心机房部署，异地每个授权用户通过购买客 户端拨号软件，通过该拨号软件拨通中心机房VPN设备，拨通后异 地拨号用户就相当于在VPN设备所在的本地网络，可以直接得到与 本地用户完全相同的服务和权限（不像SSL VPN那样，只能访问中 心机房通过IE发布的应用） 。 2、IPSEC VPN也可以在本地和异地机房同时布署，IPSEC VPN设备拨通后， 即相当于把本地机房和远和机房物理合并，所有通过VPN所在交换 机上网的异地机房内用户可以直接享受两个网络的服务和权限， 而不用像上一种方式那样利用客户端拨号软件上网。也不必像SSL VPN那样 只能访问中心机房通过浏览器发布的共享服务和应用。
SSL VPN SSL VPN只有一种接入内网的方式 SSL VPN只需在中心机房部署设备，异地 每个授权用户都可直接通过IE进行 用户名和密码的认证即可登陆（而 无需像IPSEC VPN那样购买客户端软 件拨号上网）。 通过SSL VPN登陆内网后，登陆用户只能 共享中心机房在浏览器上发布的共 享服务和应用。
为保障办公局域网接入internet时的网络边界的安全，业界的最佳实 践是在内外网的边界部署防火墙、IPS（入侵防御）和防毒墙设备。
防火墙 前面我们己经讲了防火墙：作为一种被动防护的访问控制设备，防火墙无法主动 侦测访问题否恶意攻击，对于己经通过防火墙的访问行为，我们需要利用IPS 设备判断其是否恶意访问，并做出防御。
Web 防火墙 由于防火墙仅通是过对IP地址和端口 的限制实现访问控制，IPS设备也仅 是通过特征库对比发现攻击，而网页 http协议本身有很多薄弱之处。这就 使得黑客通过跨站脚本攻击和 SQL 注 入等方式直接攻击网站，非法获取站 点信息、绕过身份认证和假冒用户、 窃取用户资料和数据、控制被攻击的 服务器等。 Web防火墙对HTTP协议完全认知， 直接分析访问是否符合HTTP规则， 并防御攻击，从而有效的防护网站的 安全。
检索、用户的访问权限调整做出 只被授权用户读写。 的行为，以方便被攻击后的核查 详细的记录和关连分析并出图表， 工作。 从而实时报告可能存在的风险。
企业的分支机构往往在异地，为保障异地两个不同网络之间的数据传输的安全，我们引入了虚拟专用网设备VPN。 VPN一方面起到身份认证的作用，同时也起到了数据加密传输的作用。VPN设备分为SSL VPN和IPSEC VPN设备
网络监控 指的是用户访问网络时， 1、网络安全日志 人为实时监控网络故障状态，基本无法实现。网络监控设备平台可 系统对每一事件所做的实时记录。 以同时监控网络设备、安全设备、数据库、服务和应用的运行状态， 2、日志审计设备 可以实时的将全网（网 以及机房动力环境。所有监控的指标都可以设定阈值，自动检测业 络设备和网络安全设备）产生的安全日志 务的可用性，进行趋势预测、并及时预警。 所记录的事件汇总到一起，对有攻击风险 网络监控设备可以通过各种图表显示网络拓扑节点、机房机架视 图、设备真实面板列表中每个端口连接的设备 IP、MAC信息以及IP地 的访问进行统一全方位监控，输出统计图 址及其运行的状态 表并做关联分析。从而实时发现关联风险 网络监控包括：应用监控模块、中间件监控、数据库监控、业务监 并马上启动预警和应急响应处理与联动。 控、日志审计、机房监控、安全设备管理模块、设备配置监控、终 3、日志审计 也可以作为网络监控的一部 端接入监控、安全通告模块、知识库模块、风险管理模块、工单管 分与网络监控设备集成在一起。 理模块。
防火墙 • 防火墙主要用来做访问控制：管理员对防火 墙进行配置时，通过对网络设备的IP和端口 号的限制，实现，允许外网用户访问内网的 哪些IP或端口，或禁止内外用户访问外网的 哪些IP或端口，从而达到访问控制的目地， 防火墙属于被动防御设备（所谓被动是指： 只能控制被管络管理员配置在防火墙内IP或 端口号，例如网络管理员可以通过配置防火 墙来来禁止外来人员通过此小型局域网访问 所有业务内网的服务器，仅保障其访问 internet的功能）。
小局域网 划分出这样一个域，主要 是为了方便外来人员上网。 1、其与internet交换数据 只需通过防火墙做访问控 制， 2、其对内网交换数据却要 经过所有途经网络安全设 备的控制和审计。
异地的下属单位 网络安全要求较高的异地的下属单位，通过专线或VPN拨入内网
允许外来人员上网的 小局域网：网络建设中无需过多考虑来自internet对这些外来闲散人员的攻击， 以免加重网络安全设备的负担。此局域网安全要求最低。只需串入防火墙 做好对内外网的访问控制 即可。
网闸 为保障企业核心局域网络的安全，这些网 络往往不允许与其它网络连接，但又 需要与其它网络做数据交换，此时我 SSL VPN 们就需要加入物理隔离设备：网闸， VPN：用户访问企业的核 网闸起到三方面的安全作用： 1、网闸只允许被网络管理员定义的应用 心的局域网时，我们 数据可以通过。没定义的应用无法通 首先需要定义只有授 过。 权用户才能访问，所 2、网闸前后两端有两个闸门，平时都是 以首先要对用户身份 关闭的。前闸为数据传输打开时，后 闸是关闭的。数据进入网闸后，前闸 进行认证 关闭后闸开启。于是数据即被摆渡过 SSL VPN设备可以为每一 网闸，又保障了两个网络的物理隔离 数据库审计 服务器加固 3、数据在进入前闸门时，所有传输协议 个合法用户分配其个 上网行为监控 被剥离，只有被传输的有效数据进入 当数据库访问题很大时，我们无法了 数据库服务器加固软件：为保障数据不被非法读、 性化的用户名和密码， 前面，在办公局域网部分，我们己经 网闸内部------纯有效数据进入网闸后， 写，服务器加固软件将所有数据和用户打上 0解数据库是否被非法读写。数据 从而随时了解具体哪 被网闸专用协议摆渡到后闸门 ------数 讲过了上网行为审计的功能，这 7八个级别的标签，在网络中，与文件同级别 库审计设备会对用户的登陆和注 据被摆渡出后闸门时恢复原有协议传 一个用户进入了企业 里旁路接入此设备，只是为了详 的用户可执行读写操作，高级别用户可读不 输。从而保障只有纯数据被传输，剥 销、数据的新建删除更新插入和 内部的核心网络。 细记录所有访问业务内网的用户 可写，低级别用户不可读写。从而保障数据 离一切攻击。
对内网的各局域网的安全建设者完成后，我们需要的是从整个网络的角度进行安全统一的网络安全监控，及时发现和解决网络存 在的安全问题。我们因此需要引入漏洞扫描（解决所有服务器的系统漏洞）、日志审计设备（测评过可疑攻击关联分析来确 认风险所在） 、网络监控（监控整个网络运行状成） 、运维审计设备（监控通过远程部署的安全设备策略）
网络安全拓普图
一个较为复杂的内网通常分为以下几个小的局域网 （下图中，红色字体为网络安全设备）
业务内网 通常企业的核心数据库和服务器 群也都在这个域里，除网管中心 的用户以外，其它任何用户访问 此网络，都需要最严格安检和审 计。此局域网安全要求最高
网管中心： 作为整个内网的管理单位， 网管中心通常有权限直接 访问业务内网。 网管中心有着对网络操作 的所有权限，它的它全性 不言而喻：所以它也有着 与业务内网相同的安全级 别。
防毒墙 防火墙和IPS设备主要用于防御网 络攻击行为，但对病毒的防护能力 非常有限，为了防止病毒入侵，我 们需加入防毒墙设备
•
•
IPS（入侵防御）和IDS（防侵检测） IPS（入侵防御）主要用于识别和防护（通过防火墙访问控制的）恶意攻击行 为：IPS属于主动防御的安全设备（所谓主动指的是IPS无需网络管理员配置， 设备主动识别网络访问，并与后台恶意特征库做比对，来主动防御恶意攻击。 比较上面对防火墙的介绍你会发现，防火墙主要是用于访问控制，而IPS主要 是用于防御突破访问控制的恶意攻击（IPS不具备访问控制功能），二者主要 功能完全独立，相互不能取代。 IDS设备与IPS的区别在于：IDS查到疑似恶意攻击只报警而不防御，同时IPS具 备IDS功能
办公局域网接入internet的安全问题解决后，马上面对的问题是“办公局域网用户是否能按企业规范来 使用，如何避免有人非法使用网络有限带宽（网络游戏、炒股、上非法网站，等等）影响企业的 正常业务网速或给企业带来不良影响”。“流控”和“上网行为管理”设备可以解决以上问题。
上网行为管理 由于网络使用过程中人员分散，为有效的监督和管理办公局域网内部每台电脑在网络使用 过程中行为的规范性。我们需加入“上网行为管理”设备，对网络中的各种行为进行 审计和监控（浏览哪些网页、传输什么文件、电子邮件正文、聊天没加密的内容、网 络游戏、音视频软件、股票软件）。通过设备内部的分析出报表及趋势图，从而保障 对网络带宽和企业对网络应用的有效监督和管理。 上网行为管理可以个性化的限制单个用户具体的应用的带宽，但无法统一部署整个网络的 带宽，因而面对所有用户的每一种应用挨个做带宽限制过于繁琐，因而需要流空设备
网页防篡改 攻击和防护永远都是矛和盾的关系，一但攻 击进入系统，网页被篡改后果不堪想像。 因此我们需要加入网页防篡改系统。 此时我们需要前后两台服务器：后台服务器 用于管理员录入和更改网页信息，前台 服务器仅用于显示网页的服务。两台服 务器之间并不用网络协议传输，这样也 就从根本上解决了网页被篡改的风险。
流控
由于网络带宽有限，为保障各网络应用按需分配带宽，流控设备会对 互联网访问流量进行细致的分析，并在统一部署网络所有用户各 类应用带宽的基础上，还可以个性化的对每台电脑的每种应用带 宽做调整。从而保障网络合法业务的畅通无阻。
我们通常把外网网站与办公局域网视为同样的安全级别，但对外网站被攻击所产生的影响和后果 不可想象。因此在办公内网设备的基础上，额外串入一个web防火墙并加入网页防篡改系统己 成为门户网站的必须选择。