【正文】 會(huì)使您的網(wǎng)絡(luò)遭受潛在的服務(wù)中斷、未經(jīng)授權(quán)的入侵以及相當(dāng)大的破壞。比如下面的一些安全隱患：■“拒絕服務(wù)”攻擊 (Denial of Service Attacks): 這些攻擊禁止系統(tǒng)向顧客提供服務(wù)，使顧客不能得到某種服務(wù)。例如，攻擊可能使用大而無(wú)用的流量充斥網(wǎng)絡(luò)，導(dǎo)致無(wú)法向顧客提供服務(wù)。最通常的情況是這種攻擊可能毀壞系統(tǒng)或者只是讓系統(tǒng)在向顧客提供服務(wù)時(shí)慢的出奇。 ■緩沖區(qū)溢出攻擊 (Buffer Overrun Exploits): 其中包括利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，從而在它以根的身份運(yùn)行時(shí)，有可能賦予剝削者對(duì)您的系統(tǒng)的根訪問(wèn)權(quán)。這也可能導(dǎo)致某種“拒絕服務(wù)”攻擊?！龈`聽(tīng)和重放攻擊 (Snooping and Replay Attacks): 竊聽(tīng)攻擊涉及某個(gè)對(duì)網(wǎng)絡(luò)上的兩臺(tái)機(jī)器之間的通訊流進(jìn)行偵聽(tīng)的入侵者。通訊流可能包含使用 tel、rlogin 或 ftp 時(shí)來(lái)回傳遞的未加密的口令。這有可能造成某個(gè)未經(jīng)授權(quán)的個(gè)人非法進(jìn)入您的網(wǎng)絡(luò)或看到機(jī)密數(shù)據(jù)。■IP 欺騙 (IP Spoofing): 基于 IP 欺騙的攻擊涉及對(duì)計(jì)算機(jī)未經(jīng)授權(quán)的訪問(wèn)。通過(guò)偵聽(tīng)網(wǎng)絡(luò)通訊流，入侵者找到受信任主機(jī)的一個(gè) IP 地址，然后發(fā)送消計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案息時(shí)指示該消息來(lái)自受信任主機(jī)。 ■內(nèi)部泄密 (Internal Exposure): 絕大多數(shù)網(wǎng)絡(luò)非法進(jìn)入皆起因于某個(gè)心懷惡意或?qū)ΜF(xiàn)狀不滿的現(xiàn)任或前任雇員濫用對(duì)信息的訪問(wèn)權(quán)或非法闖入您的網(wǎng)絡(luò)。針對(duì) Unix 系統(tǒng)存在的諸多風(fēng)險(xiǎn)，應(yīng)該采取相應(yīng)的安全措施。必須對(duì)這些風(fēng)險(xiǎn)加以控制。針對(duì)這個(gè)部分的安全控制可以采取特殊的安全策略，同時(shí)利用相關(guān)的軟件對(duì)系統(tǒng)進(jìn)行配置、監(jiān)控。制定詳細(xì)的訪問(wèn)控制計(jì)劃、策略。. Windows NT 系統(tǒng)的安全分析　　Windows NT 的安全機(jī)制的基礎(chǔ)是所有的資源和操作都受到選擇訪問(wèn)控制的保護(hù)，可以為同一目錄的不同文件設(shè)置不同的權(quán)限。這是 NT 的文件系統(tǒng)的最大特點(diǎn)。NT 的安全機(jī)制不是外加的，而是建立在操作系統(tǒng)內(nèi)部的，可以通過(guò)一定的設(shè)置使文件和其他資源免受在存放的計(jì)算機(jī)上工作的用戶和通過(guò)網(wǎng)絡(luò)接觸資源的用戶的威脅（破壞、非法的編輯等） 。安全機(jī)制甚至包含基本的系統(tǒng)功能，例如設(shè)置系統(tǒng)時(shí)鐘。對(duì)用戶帳號(hào)、用戶權(quán)限及資源權(quán)限的合理組合，可以有效地保證安全性。通過(guò)一系列的管理工具，以及對(duì)用戶帳號(hào)、口令的管理，對(duì)文件、數(shù)據(jù)授權(quán)訪問(wèn)，執(zhí)行動(dòng)作的限制，以及對(duì)事件的審核可以使 Windows NT達(dá)到 C2 級(jí)安全。在網(wǎng)絡(luò)中，有三種方式可以訪問(wèn) NT 服務(wù)器：　?。?）通過(guò)用戶帳號(hào)、密碼、用戶組方式登錄到服務(wù)器上，在服務(wù)器允許的權(quán)限內(nèi)對(duì)資源進(jìn)行訪問(wèn)、操作。這種方式的可控制性較強(qiáng)，可以針對(duì)不同的用戶?！　。?）在局部范圍內(nèi)通過(guò)資源共享的形式，這種方式建立在 NETBIOS 的基礎(chǔ)之上。通過(guò)對(duì)共享資源的共享權(quán)限的控制達(dá)到安全保護(hù)。但不能針對(duì)不同的用戶，當(dāng)一個(gè)用戶在通過(guò)共享對(duì)某一個(gè)資源進(jìn)行操作時(shí)（這時(shí)共享權(quán)限有所擴(kuò)大） ，其他用戶趁虛而入，而造成對(duì)資源的破壞。（3）在網(wǎng)絡(luò)中通過(guò) TCP/IP 協(xié)議，對(duì)服務(wù)器進(jìn)行訪問(wèn)。目前典型應(yīng)用有FTP、HTTP、WWW 等。通過(guò)對(duì)文件權(quán)限的限制和對(duì) IP 的選擇，對(duì)登錄用戶的認(rèn)證可以在安全性上做到一定的保護(hù)。由于 Windows NT 系統(tǒng)的復(fù)雜性，以及系統(tǒng)的生存周期比較短，系統(tǒng)中存在大量已知和未知的漏洞，一些國(guó)際上的安全組織已經(jīng)發(fā)布了大量的安全漏洞，其中一些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限，而另一些漏洞則可以被用來(lái)實(shí)施拒絕服務(wù)攻擊?！　? 管理系統(tǒng)的安全風(fēng)險(xiǎn) 管理系統(tǒng)的安全風(fēng)險(xiǎn)除了上面提到的系統(tǒng)風(fēng)險(xiǎn)之外，系統(tǒng)結(jié)構(gòu)復(fù)雜、管理難度大，存在各種服務(wù)，哪些服務(wù)對(duì)哪些人是開(kāi)放的、哪些是拒絕的都沒(méi)有一定的安全劃分。必須防止內(nèi)部不相關(guān)人員非法訪問(wèn)安全程度要求高的數(shù)據(jù)，而且整個(gè)系統(tǒng)的正常運(yùn)行也是保證銀行系統(tǒng)日常工作正常進(jìn)行的一個(gè)十分重要的方面。必須限制管理系統(tǒng)內(nèi)各個(gè)部門(mén)之間訪問(wèn)權(quán)限，維護(hù)各個(gè)系統(tǒng)的安全訪計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案問(wèn)。而由于整個(gè)系統(tǒng)是一個(gè)體系，任何一個(gè)點(diǎn)出現(xiàn)安全問(wèn)題，都可能給相關(guān)人員帶來(lái)?yè)p失。原則：從網(wǎng)絡(luò)安全整個(gè)體系考慮，本次防火墻選擇原則是：安全性：防火墻提供一整套訪問(wèn)控制/防護(hù)的安全策略，保證系統(tǒng)的安全性；開(kāi)放性：防火墻采用國(guó)家防火墻相關(guān)標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全領(lǐng)域相關(guān)技術(shù)標(biāo)準(zhǔn)；高可靠性：防火墻采用軟件、硬件結(jié)合的形式，保證系統(tǒng)長(zhǎng)期穩(wěn)定、安全運(yùn)行；可擴(kuò)充性：防火墻采用模塊化設(shè)計(jì)方式，方便產(chǎn)品升級(jí)、功能增強(qiáng)、調(diào)整系統(tǒng)結(jié)構(gòu)；可管理性：防火墻采用基于 windows 平臺(tái) GUI 模式進(jìn)行管理，方便各種安全策略設(shè)置；可維護(hù)性：防火墻軟件維護(hù)方便，便于操作管理；目標(biāo)：網(wǎng)絡(luò)安全包括很多方面，如：訪問(wèn)控制、身份認(rèn)證、數(shù)據(jù)加密、入侵檢測(cè)、防止病毒、數(shù)據(jù)備份等。本次防火墻系統(tǒng)建設(shè)的目標(biāo)是通過(guò)采用防火墻技術(shù)，防止不同節(jié)點(diǎn)間對(duì)內(nèi)聯(lián)網(wǎng)數(shù)據(jù)的非法使用和訪問(wèn)，監(jiān)控整個(gè)網(wǎng)絡(luò)數(shù)據(jù)過(guò)程。有效防止攻擊行為。限制對(duì)內(nèi)部資源和系統(tǒng)的訪問(wèn)范圍。通過(guò)在系統(tǒng)中設(shè)置防火墻的安全措施將達(dá)到以下目標(biāo)：保護(hù)基于專網(wǎng)的業(yè)務(wù)不間斷的正常運(yùn)作。包括構(gòu)成所有設(shè)施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)（信息） 。重要信息在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍，防止重要信息泄露解決網(wǎng)絡(luò)的邊界安全問(wèn)題保證網(wǎng)絡(luò)內(nèi)部的安全實(shí)現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全在用戶和資源之間進(jìn)行嚴(yán)格的訪問(wèn)控制（通過(guò)身份認(rèn)證，訪問(wèn)控制）建立一套數(shù)據(jù)審計(jì)、記錄的安全管理機(jī)制（網(wǎng)絡(luò)數(shù)據(jù)采集，審計(jì)）融合技術(shù)手段和行政手段，形成全局的安全管理。為了解決專網(wǎng)面臨的安全問(wèn)題，有必要建立一整套安全機(jī)制，包括：訪問(wèn)控制、入侵檢測(cè)等多個(gè)方面。信息系統(tǒng)的安全是一個(gè)復(fù)雜的系統(tǒng)工程，涉及到技術(shù)和管理等多個(gè)層面。為達(dá)成以上目標(biāo)，某數(shù)碼在充分調(diào)研和分析比較的基礎(chǔ)上采用合理的技術(shù)手段和產(chǎn)品以構(gòu)建一個(gè)完整的安全技術(shù)體系，協(xié)助某政府建立完善的安全管理體系。計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案. 網(wǎng)絡(luò)安全解決方案的組成針對(duì)前文對(duì)黑客入侵的過(guò)程的描述，為了更為有效的保證網(wǎng)絡(luò)安全，某數(shù)碼提出了兩個(gè)理念：立體安全防護(hù)體系和安全服務(wù)支撐體系。首先網(wǎng)絡(luò)的安全決不僅僅是一個(gè)防火墻，它應(yīng)是包括入侵測(cè)檢（IDS） 、虛擬專用網(wǎng)（VPN）等功能在內(nèi)的立體的安全防護(hù)體系；其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全維護(hù)服務(wù)，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。一個(gè)好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個(gè)部分組成：? 防火墻：對(duì)網(wǎng)絡(luò)攻擊的阻隔防火墻是保證網(wǎng)絡(luò)安全的重要屏障。防火墻根據(jù)網(wǎng)絡(luò)流的來(lái)源和訪問(wèn)的目標(biāo)，對(duì)網(wǎng)絡(luò)流進(jìn)行限制，允許合法網(wǎng)絡(luò)流，并禁止非法網(wǎng)絡(luò)流。防火墻最大的意義在網(wǎng)絡(luò)邊界處提供統(tǒng)一的安全策略，有效的將復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題簡(jiǎn)化，大大降低管理成本和潛在風(fēng)險(xiǎn)。在應(yīng)用防火墻技術(shù)時(shí)，正確的劃分網(wǎng)絡(luò)邊界和制定完善的安全策略是至關(guān)重要的。發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。比如某方御防火墻在很好的實(shí)現(xiàn)了防火墻功能的同時(shí)，也實(shí)現(xiàn)了下面所說(shuō)的入侵檢測(cè)功能；? 入侵檢測(cè)（IDS）：對(duì)攻擊試探的預(yù)警當(dāng)黑客試探攻擊時(shí)，大多采用一些已知的攻擊方法來(lái)試探。網(wǎng)絡(luò)安全漏洞掃描器是“先敵發(fā)現(xiàn)” ，未雨綢繆。而從另外一個(gè)角度考慮問(wèn)題， “實(shí)時(shí)監(jiān)測(cè)” ，發(fā)現(xiàn)黑客攻擊的企圖，對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)也是非常有意義的。甚至由此派生出了 P^2DR 理論。入侵檢測(cè)系統(tǒng)通過(guò)掃描網(wǎng)絡(luò)流里的特征字段（網(wǎng)絡(luò)入侵檢測(cè)） ，或者探測(cè)系統(tǒng)的異常行為（主機(jī)入侵檢測(cè)） ，來(lái)發(fā)覺(jué)這類攻擊的存在。一旦被發(fā)現(xiàn)，則報(bào)警并作出相應(yīng)處理，同時(shí)可以根據(jù)預(yù)定的措施自動(dòng)反應(yīng)，比如暫時(shí)封掉發(fā)起該掃描的 IP。某方御防火墻已經(jīng)內(nèi)置的了一套網(wǎng)絡(luò)版的 IDS 系統(tǒng)能夠快速并有效的發(fā)現(xiàn) 1500 余種攻擊行為。需要注意的是，入侵檢測(cè)系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。事實(shí)上，黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進(jìn)行一些較為復(fù)雜的變形，就能做到?jīng)]有入侵檢測(cè)系統(tǒng)能夠識(shí)別出來(lái)。所以，在應(yīng)用入侵檢測(cè)系統(tǒng)計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案時(shí)，千萬(wàn)不要因?yàn)橛辛巳肭謾z測(cè)系統(tǒng)，就不對(duì)系統(tǒng)中的安全隱患進(jìn)行及時(shí)補(bǔ)救。? 安全審計(jì)管理安全審計(jì)系統(tǒng)必須實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件，如網(wǎng)絡(luò)入侵、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些情況真實(shí)記錄，并能對(duì)于嚴(yán)重的違規(guī)行為進(jìn)行阻斷。安全審計(jì)系統(tǒng)所做的記錄如同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。安全審計(jì)跟蹤機(jī)制的內(nèi)容是在安全審計(jì)跟蹤中記錄有關(guān)安全的信息，而安全審計(jì)管理的內(nèi)容是分析和報(bào)告從安全審計(jì)跟蹤中得來(lái)的信息。安全審計(jì)跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。收集審計(jì)跟蹤的信息，通過(guò)列舉被記錄的安全事件的類別（例如對(duì)安全要求的明顯違反或成功操作的完成） ，能適應(yīng)各種不同的需要。已知安全審計(jì)的存在可對(duì)某些潛在的侵犯安全的攻擊源起到威攝作用。? 虛擬專用網(wǎng)（VPN）：遠(yuǎn)程傳輸?shù)陌踩玍PN 技術(shù)在把分散在各處的服務(wù)器群連成了一個(gè)整體，形成了一個(gè)虛擬的專用網(wǎng)絡(luò)。通過(guò) VPN 的加密通道，數(shù)據(jù)被加密后傳輸，保證了遠(yuǎn)程數(shù)據(jù)傳輸?shù)陌踩浴Ｊ褂?VPN 可以象管理本地服務(wù)器一樣去安全的管理遠(yuǎn)程的服務(wù)器。VPN 帶來(lái)的最大好處是確保安全性的同時(shí)，復(fù)用物理信道，降低使用成本。某方御防火墻提供了軟、硬兩種方式來(lái)實(shí)現(xiàn) VPN。? 防病毒以及特洛伊木馬計(jì)算機(jī)病毒的危害不言而喻，計(jì)算機(jī)病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)合起來(lái)，成為黑客的又一利器。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。? 安全策略的實(shí)施保證網(wǎng)絡(luò)安全知識(shí)的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行，是網(wǎng)絡(luò)安全最重要的保障。此外，信息備份是信息安全的最起碼的要求。能減少惡意網(wǎng)絡(luò)攻擊或者意外災(zāi)害帶來(lái)的破壞性損失。計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案. 超高安全要求下的網(wǎng)絡(luò)保護(hù)對(duì)于某市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)數(shù)據(jù)中心安全而言，安全性需求就更加的高，屬于超高安全要求下的網(wǎng)絡(luò)保護(hù)范圍，因此需要在這些地方使用 2 臺(tái)防火墻進(jìn)行雙機(jī)熱備，以保證數(shù)據(jù)穩(wěn)定傳輸。. 認(rèn)證與授權(quán)認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)（包括撥號(hào)）時(shí)，要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，防止黑客假冒身份滲透進(jìn)內(nèi)部網(wǎng)絡(luò)。對(duì)于內(nèi)部訪問(wèn)，也要有完善的網(wǎng)絡(luò)行為審計(jì)記錄和權(quán)限限定，防止由內(nèi)部人員發(fā)起的攻擊──70%以上的攻擊都是內(nèi)部人員發(fā)起的。我們建議某市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)利用基于 證書(shū)的認(rèn)證體系（目前最強(qiáng)的認(rèn)證體系）來(lái)進(jìn)行認(rèn)證。某方御防火墻管理也是用 證書(shū)進(jìn)行認(rèn)證的。. 網(wǎng)絡(luò)隔離網(wǎng)絡(luò)安全界的一個(gè)玩笑就是：要想安全，就不要插上網(wǎng)線。這是一個(gè)簡(jiǎn)單的原理：如果網(wǎng)絡(luò)是隔離開(kāi)的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。但對(duì)于需要和外界溝通的實(shí)際應(yīng)用系統(tǒng)來(lái)說(shuō)，完全的物理隔離是行不通的。某數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡(luò)隔離解決方案，在網(wǎng)絡(luò)連通條件下，通過(guò)破壞網(wǎng)絡(luò)攻擊得以進(jìn)行的另外兩個(gè)重要條件：? 從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接? 將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡(luò)從而確保某市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)的安全。計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案. 實(shí)施保證某市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。要保護(hù)這樣一個(gè)繁雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機(jī)制，一方面要能讓某市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)。某方御防火墻采用基于 Windows GUI 的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^(guò)一個(gè)控制機(jī)對(duì)多臺(tái)某方御防火墻進(jìn)行集中式的管理。某方御防火墻符合國(guó)家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開(kāi)關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過(guò)濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制，這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。事實(shí)上，方御防火墻是通過(guò)該標(biāo)準(zhǔn)認(rèn)證的第一個(gè)狀態(tài)檢測(cè)型包過(guò)濾防火墻。另外，某方御防火墻還提供了原標(biāo)準(zhǔn)中沒(méi)有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán)機(jī)制，尤其適合于某市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)這樣的大型網(wǎng)絡(luò)。防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要的、基礎(chǔ)的設(shè)施，它對(duì)維護(hù)內(nèi)部網(wǎng)絡(luò)的安全起著重要的作用。利用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級(jí)別區(qū)域間的邊界，并在邊界上對(duì)不同區(qū)域間的訪問(wèn)實(shí)施訪問(wèn)控制、身份鑒別、和安全審計(jì)等功能。防火墻按實(shí)現(xiàn)的方式不同，其基本類型有：包過(guò)濾型、代理(應(yīng)用網(wǎng)關(guān))型和復(fù)合型。復(fù)合型防火墻是在綜合動(dòng)態(tài)包過(guò)濾技術(shù)和代理技術(shù)的優(yōu)點(diǎn)的情況下采取的一種更加完善和安全的防火墻技術(shù)。其功能強(qiáng)大，是未來(lái)防火墻技術(shù)發(fā)展的一個(gè)主要趨勢(shì)。綜合考慮某市政府網(wǎng)絡(luò)安全實(shí)際情況，在本方案中采用某數(shù)碼的某方御復(fù)合型防火墻，放置在網(wǎng)絡(luò)連接的各個(gè)節(jié)點(diǎn)間。計(jì)算機(jī)專網(wǎng)安全產(chǎn)品解決方案 ? 防火墻提供三個(gè)接口：內(nèi)網(wǎng)、外網(wǎng)、DMZ；? 防火墻工作在橋模式，這樣不需要改動(dòng)現(xiàn)有網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；? 將對(duì)外服務(wù)的各種服務(wù)設(shè)備放置在 DMZ 區(qū)域，和內(nèi)部網(wǎng)絡(luò)嚴(yán)格區(qū)分開(kāi)，保證內(nèi)部系統(tǒng)安全。. 完善的訪問(wèn)控制規(guī)則控制：通過(guò)某方御防火墻提供的基于 TCP/IP 協(xié)議中各個(gè)環(huán)節(jié)進(jìn)行安全控制，生成完整安全的訪問(wèn)控制表，這個(gè)表包括：■ 外網(wǎng)對(duì) DMZ 內(nèi)服務(wù)訪問(wèn)控制。將外部對(duì)內(nèi)部、DMZ 內(nèi)服務(wù)訪問(wèn)明確限制，防止非法對(duì)內(nèi)部重要系統(tǒng)，特別是業(yè)務(wù)系統(tǒng)的訪問(wèn)。利用 DMZ 的隔離效果，盡量將對(duì)外服務(wù)的部分服務(wù)器放置在 DMZ 區(qū)域，通過(guò) NAT 方式，保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊。關(guān)閉操作系統(tǒng)提供的除需要以外