一、技術解決方案
安全產品是網絡安全的基石，通過在網絡中安裝一定的安全設備，能夠使得網絡的結構更加清晰，安全性得到顯著增強；同時能夠有效降低安全管理的難度，提高安全管理的有效性。
下面介紹在局域網中增加的安全設備的安裝位置以及他們的作用。
1、防火墻
安裝位置：局域網與路由器之間；WWW服務器與托管機房局域網之間；
局域網防火墻作用：
（1） 實現單向訪問，允許局域網用戶訪問INTERNET資源，但是嚴格限制INTERNET用戶對局域網資源的訪問；
（2） 通過防火墻，將整個局域網劃分INTERNET，DMZ區，內網訪問區這三個邏輯上分開的區域，有利于對整個網絡進行管理；
（3）局域網所有工作站和服務器處于防火墻地整體防護之下，只要通過防火墻設置的修改，就能有限絕大部分防止來自INTERNET上的攻擊，網絡管理員只需要關注DMZ區對外提供服務的相關應用的安全漏洞；
（4）通過防火墻的過濾規則，實現端口級控制，限制局域網用戶對INTERNET的訪問；
（5）進行流量控制，確保重要業務對流量的要求；
（6）通過過濾規則，以時間為控制要素，限制大流量網絡應用在上班時間的使用。
托管機房防火墻的作用：
（7） 通過防火墻的過濾規則，限制INTERNET用戶對WWW服務器的訪問，將訪問權限控制在最小的限度，在這種情況下，網絡管理員可以忽略服務器系統的安全漏洞，只需要關注WWW應用服務軟件的安全漏洞；
（8）通過過濾規則，對遠程更新的時間、來源（通過IP地址）進行限制。
2、入侵檢測
安裝位置：局域網DMZ區以及托管機房服務器區；
IDS的作用：
（1） 作為旁路設備，監控網絡中的信息，統計并記錄網絡中的異常主機以及異常連接；
（2）中斷異常連接；
（3）通過聯動機制，向防火墻發送指令，在限定的時間內對特定的IP地址實施封堵。
3、網絡防病毒軟件控制中心以及客戶端軟件
安裝位置：局域網防病毒服務器以及各個終端
防病毒服務器作用：
（1） 作為防病毒軟件的控制中心，及時通過INTERNET更新病毒庫，并強制局域網中已開機的終端及時更新病毒庫軟件；
（2）記錄各個終端的病毒庫升級情況；
（3）記錄局域網中計算機病毒出現的時間、類型以及后續處理措施。
防病毒客戶端軟件的作用：
(4) 對本機的內存、文件的讀寫進行監控，根據預定的處理方法處理帶毒文件；
(5) 監控郵件收發軟件，根據預定處理方法處理帶毒郵件；
4、郵件防病毒服務器
安裝位置：郵件服務器與防火墻之間
郵件防病毒軟件：對來自INTERNTE的電子郵件進行檢測，根據預先設定的處理方法處理帶毒郵件。郵件防病毒軟件的監控范圍包括所有來自INTERNET的電子郵件以及所屬附件（對于壓縮文件同樣也進行檢測）
5、反垃圾郵件系統
安裝位置：同郵件防病毒軟件，如果軟硬件條件允許的話，建議安裝在同一臺服務器上。
反垃圾郵件系統作用：
(1) 拒絕轉發來自INTERNET的垃圾郵件；
(2) 拒絕轉發來自局域網用戶的垃圾郵件并將發垃圾郵件的局域網
用戶的IP地址通過電子郵件等方式通報網管；
(3) 記錄發垃圾郵件的終端地址；
(4) 通過電子郵件等方式通知網管垃圾郵件的處理情況。
6、動態口令認證系統
安裝位置：服務器端安裝在WWW服務器（以及其他需要進行口令加強的敏感服務器），客戶端配置給網頁更新人員（或者服務器授權訪問用戶）；
動態口令認證系統的作用：
通過定期修改密碼，確保密碼的不可猜測性。
7、網絡管理軟件
安裝位置：局域網中。
網絡管理軟件的作用：
(1) 收集局域網中所有資源的硬件信息；
(2) 收集局域網中所有終端和服務器的操作系統、系統補丁等軟件信息；
(3) 收集交換機等網絡設備的工作狀況等信息；
(4) 判斷局域網用戶是否使用了MODEM等非法網絡設備與INTERNET連接；
(5) 顯示實時網絡連接情況；
(6) 如果交換機等核心網絡設備出現異常，及時向網管中心報警；
8、QOS流量管理
安裝位置：如果是專門的產品安裝在路由器和防火墻之間；部分防火墻本身就有QOS帶寬管理模塊。
QOS流量管理的作用:
(1) 通過IP地址，為重要用戶分配足夠的帶寬；
(2) 通過端口，為重要的應用分配足夠的帶寬資源；
(3) 限制非業務流量的帶寬；
(4) 在資源閑置時期，允許其他人員使用資源，一旦重要用戶或者重要應用需要使用帶寬，則確保它們能夠至少使用分配給他們的帶寬資源。
9、重要終端個人防護軟件
安裝位置：重要終端
個人防護軟件的作用：
(1) 保護個人終端不受攻擊；
(2) 不允許任何主機（包括局域網主機）非授權訪問重要終端資源；
(3) 防止局域網感染病毒主機通過攻擊的方式感染重要終端。
10、頁面防篡改系統
安裝位置：WWW服務器
頁面防篡改系統的作用：
(1) 定期比對發布頁面文件與備份文件，一旦發現不匹配，用備份文件替換發布文件；
(2) 通過特殊的認證機制，允許授權用戶修改頁面文件；
(3) 能夠對數據庫文件進行比對。
二、安全服務解決方案
在安全服務方案中，采用不同的安全服務，定期對網絡進行檢測、改進，以達到動態增進網絡安全性，最大限度發揮安全設備作用的目的。安全服務分為以下幾類：
1、網絡拓撲分析
服務對象：整個網絡
服務周期：半年一次
服務內容：（1）根據網絡的實際情況，繪制網絡拓撲圖；（2）分析網絡中存在的安全缺陷并提出整改建議意見。
服務作用：針對網絡的整體情況，進行總體、框架性分析。一方面，通過網絡拓撲分析，能夠形成網絡整體拓撲圖，為網絡規劃、網絡日常管理等管理行為提供必要的技術資料；另一方面，通過整體的安全性分析，能夠找出網絡設計上的安全缺陷，找到各種網絡設備在協同工作中可能產生的安全問題。
2、中心機房管理制度制訂以及修改
服務對象：中心機房
服務周期：半年一次
服務內容：協助用戶制訂并修改機房管理制度。制度內容涉及人員進出機房的登記制度、設備進出機房的登記制度、設備配置修改的登記制度等。
服務作用：嚴格控制中心機房的人員進出、設備進出并及時登記設備的配置更新情況，有助于網絡核心設備的監控，確保網絡的正常運行。
3、操作系統補丁升級
服務對象：服務器、工作站、終端
服務周期：不定期
服務內容：（1） 一旦出現重大安全補丁，及時更新所有相關系統；（2）出現大型補?。ㄈ缥④浀腟P），及時更新所有相關系統；
服務作用：通過及時、有效的補丁升級，能夠有效防止局域網主機和服務器相互之間的攻擊，降低現代網絡蠕蟲病毒對網絡的整體影響，增加網絡帶寬的有效利用率。
4、防病毒軟件病毒庫定期升級
服務對象：防病毒服務器、安裝防病毒客戶端的終端
服務周期：每周一次
服務內容：（1） 防病毒服務器通過INTERNET更新病毒庫；（2）防病毒服務器強制所有在線客戶端更新病毒庫；
服務作用：通過不斷升級病毒庫確保防病毒軟件能夠及時發現新的病毒。
5、服務器定期掃描、加固
服務對象：服務器
服務周期：半年一次
服務內容：使用專用的掃描工具，在用戶網絡管理人員的配合，對主要的服務器進行掃描。
服務作用：（1） 找出對應服務器操作系統中存在的系統漏洞；（2）  找出服務器對應應用服務中存在的系統漏洞；（3） 找出安全強度較低的用戶名和用戶密碼。
6 、防火墻日志備份、分析
服務對象：防火墻設備
服務周期：一周一次
服務內容：導出防火墻日志并進行分析。
服務作用：通過流量簡圖找出流量異常的時間段，通過檢查流量較大的主機，找出局域網中的異常主機。
7、入侵檢測等安全設備日志備份
服務對象：入侵檢測等安全設備
服務周期：一周一次
服務內容：備份安全設備日志。
服務作用：防止日志過大導致檢索、分析的難度，另一方面也有利于事后的檢查。
8、服務器日志備份
服務對象：主要服務器（如WWW服務器、文件服務器等）
服務周期：一周一次
服務內容：備份服務器訪問日志
服務作用： 防止日志過大導致檢索、分析的難度，另一方面也有利于事后的檢查。
9、白客滲透
服務對象：對INTERBET提供服務的服務器
服務周期：半年一次
服務內容：服務商在用戶指定的時間段內，通過INTERNET，使用各種工具在不破壞應用的前提下攻擊服務器，最終提供檢測報告。
服務作用：先于黑客進行探測性攻擊以檢測系統漏洞。根據最終檢測報告進一步增強系統的安全性
10、設備備份系統
服務對象：骨干交換機、路由器等網絡骨干設備
服務周期：實時
服務內容：根據用戶的網絡情況，提供骨干交換機、路由器等核心網絡設備的備份。備份設備可以在段時間內替代網絡中實際使用的設備。
服務作用：一旦核心設備出現故障，使用備件替換以減少網絡故障時間。
11、信息備份系統
服務對象：所有重要信息
服務周期：根據網絡情況定完全備份和增量備份的時間
服務內容：定期備份電子信息
服務作用：防止核心服務器崩潰導致網絡應用癱瘓。
12、定期總體安全分析報告
服務對象：整個網絡
服務周期：半年一次
服務內容：綜合網絡拓撲報告、各種安全設備日志、服務器日志等信息，對網絡進行總體安全綜合性分析，分析內容包括網絡安全現狀、網絡安全隱患分析，并提出改進建議意見。
服務作用：提供綜合性、全面的安全報告，針對全網絡進行安全性討論，為全面提高網絡的安全性提供技術資料。
以上是服務解決方案，眾所周知，安全產品一般是共性的產品，通過安全服務，能夠配制出適合本網絡的安全設備，使得安全產品在特定的網絡中發揮最大的效能，使得各種設備協同工作，增強網絡的安全性和可用性。
當然，在網絡中，不安全是絕對的，即使采取種種措施，網絡也可能遭到應用某種原因無法正常運作，這時候，就需要有及時有效的技術支持，使得網絡在盡可能短的時間內恢復正常。下面將提出技術支持解決方案。

三、技術支持解決方案
技術支持是整個安全方案的重要補充。其主要作用是在用戶網絡發生重要安全事件后，通過及時、高效的安全服務，達到盡快恢復網絡應用的目的。技術支持主要包括以下幾方面：
1、故障排除
支持范圍：

（1） 用戶無法訪問網絡（如局域網用戶無法訪問INTERNET）；

（2）應用服務無法訪問（如不能對外提供WWW服務）；

（3）網絡訪問異常（如訪問速度慢）。
作用：一旦網絡出現異常，為用戶提供及時、有效的網絡服務。在最短的時間內恢復網絡應用。
2、災難恢復
支持范圍：設備遇到物理損害網絡網絡應用異常。
作用：通過備品備件，快速恢復網絡硬件環境；通過備份文件的復原，盡快恢復網絡的電子資源；由此可在最短的時間內恢復整個網絡應用。
3、查找攻擊源
支持范圍： 網絡管理員發現網絡遭到攻擊，并需要確定攻擊來源。
作用： 通過日志文件等信息，確定攻擊的來源，為進一步采取措施提供依據。
4、實時檢索日志文件
支持范圍： 遭到實時的攻擊（如DOS，SYN FLOODING等），需要及時了解攻擊源以及攻擊強度。
作用：通過實時檢索日志文件，可以當時存在的針對本網絡的攻擊并查找出攻擊源。如果攻擊強度超出網絡能夠承受的范圍，可采取進一步措施進行防范。
5、即時查殺病毒
支持范圍： 由不可確定的因素導致網絡中出現計算機病毒。
作用：即使網絡中出現病毒，通過及時有效的技術支持，在最短的時間內查處感染病毒的主機并即時查殺病毒，恢復網絡應用。
6、即時網絡監控
支持范圍： 網絡出現異常，但應用基本正常。
作用：通過網絡監控，近可能發現網絡中存在的前期網絡故障，在故障擴大化以前及時進行防治。
以上是技術支持解決方案，技術支持是安全服務的重要補充部分，即使在完善的安全體系下，也存在不可預測的因素導致網絡故障，此時，需要及時、有效的技術支持服務，在盡可能短的時間內恢復網絡的正常運行。
綜上所述，局域網的安全由三大部分組成，涵蓋設備、技術、制度、管理、服務等各個部分。
四、分布實施建議意見
網絡安全涉及面相當廣，同時進行建設的可行性較差，因此，建議按照以下方式進行分階段實施。
1、第一階段
（1）技術方面，采用防火墻、網絡防病毒軟件、頁面防篡改系統來建立一個結構上較完善的網絡系統。
（2）服務方面，進行網絡拓撲分析、建立中心機房管理制度、建立操作系統以及防病毒軟件定期升級機制、對重要服務器的訪問日志進行備份，通過這些服務，增強網絡的抗干擾性。
（3）支持方面，要求服務商提供故障排除服務，以提高網絡的可靠性，降低網絡故障對網絡的整體影響。
2、第二階段
在第一階段安全建設的基礎上，進一步增加網絡安全設備，采納新的安全服務和技術支持來增強網絡的可用性。
（1）技術方面，采用入侵檢測、郵件防病毒軟件、動態口令認證系統、并在重要客戶端安裝個人版防護軟件。
（2）服務方面，對服務器進行定期掃描與加固、對防火墻日志進行備份與分析、對入侵檢測設備的日志進行備份、建立設備備份系統以及文件備份系統。
（3）支持方面，要求服務商提供災難恢復、實時日志檢索、實時查殺病毒、實時網絡監控等技術支持。
3、第三階段
在這一階段，采取的措施以進一步提高網絡效率為主。
（1）技術方面，采用反垃圾郵件系統、網絡管理軟件、QOS流量管理軟件。
（2）服務方面，采用白客滲透測試，要求服務商定期提供整體安全分析報告。
（3）支持方面，要求能夠實時或者時候查找攻擊源。
以上針對用戶網絡分別從三個方面提出了安全解決方案，并按照實施的緊迫性分成三個階段來實現，但是實際針對某個用戶，對于安全的要求可能各不相同，具體網絡情況也可能有很大的差異，因此建議用戶根據實際情況建立網絡安全建設的時間表。

另外，隨著新技術、新產品的不斷涌現，網絡技術的不斷發展，對于網絡安全的要求不斷提高，在實際實施過程中采取的措施完全可能超越本文中提及的產品、服務、支持，這也是安全建設的最基本原則：不斷改進，不斷增強，安全無止境。（作者單位：上海華堂網絡有限公司）