網(wǎng)絡安全系統(tǒng)主要依靠硬件防火墻、網(wǎng)絡防病毒系統(tǒng)等技術(shù)在網(wǎng)絡層構(gòu)筑一道安全屏障，并通過把不同的產(chǎn)品集成在同一個安全管理平臺上，實現(xiàn)網(wǎng)絡層的統(tǒng)一、集中的安全管理。

  網(wǎng)絡層安全平臺

  如何構(gòu)建安全的網(wǎng)絡架構(gòu)的方案？選擇網(wǎng)絡層安全平臺時主要考慮這個安全平臺能否與其他相關的網(wǎng)絡安全產(chǎn)品集成，能否對這些安全產(chǎn)品進行統(tǒng)一的管理，包括配置各相關安全產(chǎn)品的安全策略、維護相關安全產(chǎn)品的系統(tǒng)配置、檢查并調(diào)整相關安全產(chǎn)品的系統(tǒng)狀態(tài)等。

  一個完善的網(wǎng)絡安全平臺至少需要部署以下產(chǎn)品：

防火墻：網(wǎng)絡的安全核心，提供邊界安全防護和訪問權(quán)限控制；網(wǎng)絡防病毒系統(tǒng)：杜絕病毒傳播，提供全網(wǎng)同步的病毒更新和策略設置，提供全網(wǎng)殺毒。

  安全網(wǎng)絡拓撲結(jié)構(gòu)劃分

  防火墻主要是防范不同網(wǎng)段之間的攻擊和非法訪問。由于攻擊的對象主要是各類計算機，所以要科學地劃分計算機的類別來細化安全設計。在整個內(nèi)網(wǎng)當中，根據(jù)用途可以將計算機劃分為三類：內(nèi)部使用的工作站與終端、對外提供服務的應用服務器，以及重要數(shù)據(jù)服務器。這三類計算機的作用不同，重要程度不同，安全需求也不同：

  第一，重點保護各種應用服務器，特別是要保證數(shù)據(jù)庫服務的代理服務器的絕對安全，不能允許用戶直接訪問。對應用服務器，則要保證用戶的訪問是受到控制的，要能夠限制能夠訪問該服務器的用戶范圍，使其只能通過指定的方式進行訪問。

  第二，數(shù)據(jù)服務器的安全性要大于對外提供多種服務的WWW服務器、E-mail服務器等應用服務器。所以數(shù)據(jù)庫服務器在防火墻定義的規(guī)則上要嚴于其他服務器。

  第三，內(nèi)部網(wǎng)絡有可能會對各種服務器和應用系統(tǒng)的直接的網(wǎng)絡攻擊，所以內(nèi)部辦公網(wǎng)絡也需要和代理服務器、對外服務器（WWW、E-mail）等隔離開。

  第四，不能允許外網(wǎng)用戶直接訪問內(nèi)部網(wǎng)絡。

  上述安全需求，需要通過劃分出安全的網(wǎng)絡拓撲結(jié)構(gòu)，并通過VLAN劃分、安全路由器配置和安全網(wǎng)關的配置來控制不同網(wǎng)段之間的訪問控制。劃分網(wǎng)絡拓撲結(jié)構(gòu)時，一方面要保證網(wǎng)絡的安全，另一方面不能對原有網(wǎng)絡結(jié)構(gòu)做太大的更改，為此建議采用以硬件防火墻為核心的支持非軍事化區(qū)的三網(wǎng)段安全網(wǎng)絡拓撲結(jié)構(gòu)。

  根據(jù)這種應用模式，使用非軍事化區(qū)結(jié)構(gòu)的網(wǎng)絡拓撲是一種很自然的提高安全性的措施。如右圖所示，在防火墻上安裝三塊網(wǎng)卡，分別連接三個不同網(wǎng)段：外網(wǎng)、內(nèi)網(wǎng)和DMZ。安全設置如下：

  三網(wǎng)段安全網(wǎng)絡拓撲結(jié)構(gòu)

1. 內(nèi)網(wǎng)用戶可以被授權(quán)訪問外網(wǎng)和DMZ中的服務器；

2. 外網(wǎng)用戶只能夠訪問到DMZ中的相關服務器，不能訪問內(nèi)網(wǎng)；

3. DMZ還放置各種應用服務器，應用模式中，對應的是各種Web服務器。這些服務器允許有控制地被各種用戶訪問，也能主動訪問Internet。建議不允許DMZ服務器主動訪問內(nèi)網(wǎng)主機；

4. 在內(nèi)網(wǎng)某臺服務器上安裝網(wǎng)絡版防病毒軟件的系統(tǒng)中心，定制全網(wǎng)殺毒策略并監(jiān)控網(wǎng)絡病毒情況；

5. 通過網(wǎng)絡版防病毒軟件的漏洞檢測功能可以及時發(fā)現(xiàn)內(nèi)網(wǎng)機器存在的漏洞，及時查堵防患未然。