网络安全系统主要依靠防火墙、网络防病毒系统等技术在网络层构筑一道安全屏障,并通过把不同的产品集成在同一个安全管理平台上实现网络层的统一、集中的安全管理。
网络层安全平台
选择网络层安全平台时主要考虑这个安全平台能否与其他相关的网络安全产品集成,能否对这些安全产品进行统一的管理,包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。
一个完善的网络安全平台至少需要部署以下产品:
防火墙、网络的安全核心提供边界安全防护和访问权限控制;
网络防病毒系统、杜绝病毒传播提供全网同步的病毒更新和策略设置提供全网杀毒。
安全网络拓扑结构划分
防火墙主要是防范不同网段之间的攻击和非法访问。由于攻击的对象主要是各类计算机,所以要科学地划分计算机的类别来细化安全设计。在整个内网当中,根据用途可以将计算机划分为三类:内部使用的工作站与终端、对外提供服务的应用服务器以及重要数据服务器。这三类计算机的作用不同,重要程度不同,安全需求也不同。
第一、重点保护各种应用服务器特别是要保证数据库服务的代理服务器的绝对安全不能允许用户直接访问。对应用服务器则要保证用户的访问是受到控制的要能够限制能够访问该服务器的用户范围使其只能通过指定的方式进行访问。
第二、数据服务器的安全性要大于对外提供多种服务的WWW服务器、E-mail服务器等应用服务器。所以数据库服务器在防火墙定义的规则上要严于其他服务器。
第三、内部网络有可能会对各种服务器和应用系统的直接的网络攻击,所以内部办公网络也需要和代理服务器、对外服务器、WWW、E-mail等隔离开。
第四、不能允许外网用户直接访问内部网络。
上述安全需求需要通过划分出安全的网络拓扑结构,并通过VLAN划分、安全路由器配置和防火墙网关的配置来控制不同网段之间的访问控制。划分网络拓扑结构时,一方面要保证网络的安全;另一方面不能对原有网络结构做太大的更改。为此建议采用以防火墙为核心的支持非军事化区的三网段安全网络拓扑结构。