網絡安全系統主要依靠防火墻、網絡防病毒系統等技術在網絡層構筑一道安全屏障，并通過把不同的產品集成在同一個安全管理平臺上，實現網絡層的統一、集中的安全管理。

　　網絡層安全平臺

　　如何構建安全的網絡架構的方案？選擇網絡層安全平臺時主要考慮這個安全平臺能否與其他相關的網絡安全產品集成，能否對這些安全產品進行統一的管理，包括配置各相關安全產品的安全策略、維護相關安全產品的系統配置、檢查并調整相關安全產品的系統狀態等。

　　一個完善的網絡安全平臺至少需要部署以下產品：

　　防火墻：網絡的安全核心，提供邊界安全防護和訪問權限控制；網絡防病毒系統：杜絕病毒傳播，提供全網同步的病毒更新和策略設置，提供全網殺毒。

　　安全網絡拓撲結構劃分

　　防火墻主要是防范不同網段之間的攻擊和非法訪問。由于攻擊的對象主要是各類計算機，所以要科學地劃分計算機的類別來細化安全設計。在整個內網當中，根據用途可以將計算機劃分為三類：內部使用的工作站與終端、對外提供服務的應用服務器，以及重要數據服務器。這三類計算機的作用不同，重要程度不同，安全需求也不同：

　　第一，重點保護各種應用服務器，特別是要保證數據庫服務的代理服務器的絕對安全，不能允許用戶直接訪問。對應用服務器，則要保證用戶的訪問是受到控制的，要能夠限制能夠訪問該服務器的用戶范圍，使其只能通過指定的方式進行訪問。

　　第二，數據服務器的安全性要大于對外提供多種服務的WWW服務器、E-mail服務器等應用服務器。所以數據庫服務器在防火墻定義的規則上要嚴于其他服務器。

　　第三，內部網絡有可能會對各種服務器和應用系統的直接的網絡攻擊，所以內部辦公網絡也需要和代理服務器、對外服務器（WWW、E-mail）等隔離開。

　　第四，不能允許外網用戶直接訪問內部網絡。

　　上述安全需求，需要通過劃分出安全的網絡拓撲結構，并通過VLAN劃分、安全路由器配置和防火墻網關的配置來控制不同網段之間的訪問控制。劃分網絡拓撲結構時，一方面要保證網絡的安全，另一方面不能對原有網絡結構做太大的更改，為此建議采用以防火墻為核心的支持非軍事化區的三網段安全網絡拓撲結構。

　　根據這種應用模式，使用非軍事化區結構的網絡拓撲是一種很自然的提高安全性的措施。如右圖所示，在防火墻上安裝三塊網卡，分別連接三個不同網段：外網、內網和DMZ。安全設置如下：

　　三網段安全網絡拓撲結構

　　1. 內網用戶可以被授權訪問外網和DMZ中的服務器；

　　2. 外網用戶只能夠訪問到DMZ中的相關服務器，不能訪問內網；

　　3. DMZ還放置各種應用服務器，應用模式中，對應的是各種Web服務器。這些服務器允許有控制地被各種用戶訪問，也能主動訪問Internet。建議不允許DMZ服務器主動訪問內網主機；

　　4. 在內網某臺服務器上安裝網絡版防病毒軟件的系統中心，定制全網殺毒策略并監控網絡病毒情況；

　　5. 通過網絡版防病毒軟件的漏洞檢測功能可以及時發現內網機器存在的漏洞，及時查堵防患未然。

　　通過以上三個方面就可以構建安全的網絡架構了，謝謝閱讀，希望能幫到大家，請繼續關注VEVB武林網，我們會努力分享更多優秀的文章。