很多网路设备厂商比较早的提出了上网行为管理路由器的应用理念，并相继推出了一系列上网行为管理型的路由产品。用户可以制定有效的网络应用控制策略，封堵与业务无关的网络应用，引导员工在合适的时间做合适的事。也可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略，过滤非工作相关的网页。在帮助员工提高工作效率的同时为企业的高速运营发展提供最大的保障!

“信息无处不在”带来便利和创造商业价值的同时，也带来风险。虽然企业想要支持设备、软件和应用程序使员工能够顺利完成工作，但企业也必须非常仔细地监督和管理与使用这些信息和IT有关的业务风险。针对信息无处不在的解决方案就是信息安全无处不在，但是这是不切实际且无法实现的。企业需要确定什么时候便利会导致很大的风险以及应该怎样做来限制风险。这是一个很大的挑战，特别当你考虑到大多数企业都不能回答这个简单的问题，“我们企业现在的网络信息风险是什么?”

一、网络层安全（网络层安全是我们考虑最多也是防范要求最多的一个层面，以下几个方面进行阐述）

(1)确定安全域的划分：安全域的划分就是制定安全边界。根据资源位置进行划分的目标是将同一网络安全等级的资源，根据对学院的重要性、面临的外来攻击风险、内在的运行风险不同，划分成多个网络安全区域。划分的原则是将同一网络安全层次内客户端之间的连接控制在相同的安全域内，尽量消除不同安全层次之间的联系，实施相互逻辑或物理隔离。

从目前情况分析，学院内部的财务处和人事处因业务及数据的保密性和敏感度，需要阻止任何的外部访问。所以这两个位置与网络中其它处室在逻辑上应是隔离状态。这里主要使用交换机利用vlan对各个不同的功能区域进行划分。除了保证物理位置及逻辑位置的隔离以外，划分vlan的另一个好处就是减小广播包的数量，控制网络流量，避免广播风暴的产生。在实际工作中曾经遇到财务处网段被其他网段访问的安全问题。此问题涉及财务的机密文件和重要报表数据，所以问题较严重。在这之前财务处是被独立划分为一个网段，与其它网段用ACL列表进行隔离。但是在客户端统一纳入学院域之后，之前做的ACL列表不起任何作用。经分析，我们发现在域内PC之间的通讯协议发生了变化，于是将所有的TCP、UDP协议进行拦截，只对部分可以互访的终端服务器进行允许控制。对于需要外网进行访问的服务器，比如web服务器、ftp服务器、邮件服务器等需要把它们分离出来，不需要进入内网进行保护。其它服务器则放置于内网安全保护区域内，独立划分为一个vlan。

(2)攻击阻断：这里主要采用防火墙、入侵防护、防病毒系统进行外部阻断。首先，为了保护内部网络，在Internet出口部署防火墙，将内部网络与因特网隔离，只在内部网与外部网之间设立唯一的通道，将攻击危险阻断在外，并限制网络互访从而保护企业内部网络。另外，利用防火墙的端口，设置LAN区、SSN区以及外网区。LAN区是不对外开放区，所有的客户端及需要保护的服务器放置在这个区域里。SSN区域里放置需要外部访问的服务器，如web服务器、ftp服务器及邮件服务器。由于防火墙处于网关的位置，不可能对进出攻击做出太多判断，否则会严重影响网络性能。所以这里需要部署入侵保护系统(Ips)作为防火墙的有力补充。将Ips串联在主干线路中，是网络安全的第二道屏障，可构成完整的网络安全解决方案。除此之外，我们还可以进行恰当的设置，使防火墙、lps联动起来。当Ips检测到入侵和攻击后，会通过联动接口部件，将入侵特征和事件报告给防火墙，防火墙接到入侵信息后会动态地修改自己的安全访问控制策略，在下一次防火墙不需要Ips也可以将入侵流量屏蔽掉。

这样防火墙和Ips联动起来后，防火墙的访问控制规则和Ips的规则链会随着网络安全状况的变化而不断调整，这样不仅能提高安全性，而且不必要的访问控制规则和规则链会被及时地删除掉，对网络性能造成的影响也会降到最低。防病毒系统应该是网络安全的第三道屏障。在网络技术日新月异的今天，即使网络部署了防火墙和入侵保护系统后，仍然会存在漏洞。学院网络应该建立立体防毒体系，就是指在网络的边界处部署硬件防毒墙，然后再在整个网络内部部署网络版杀毒软件。这样防病毒系统不仅部署在每一个客户端上，能够对源于内部网络的攻击或者是防火墙无法隔离的攻击行为、恶意代码进行阻拦，而且防病毒系统也部署在服务器上和网络边界处。这样从边界到内部，整个网络进行立体地防护，极大地提高了全网的防毒能力，是防火墙及入侵保护系统的有力补充。

(3)远程接入控制：对于学院的三个分院以及外出办公人员，需要通过Internet访问学院本部，这里考虑vpn(虚拟私有网络)技术来实现。现有vpn技术有Ipsecvpn以及sslvpn。从学院目前网络使用情况并考虑日后发展状况，将以IPsecvpn作为点对点连结，再配以sslvpn的远程访问方案。在交通分院、建设分院、卫生分院三地之间架设防火墙，利用防火墙的网关对网关的Ipsecvpn满足三地办公的需要，再选购sslvpn来满足移动办公人员访问学院内网高安全性及可靠性的需求。我们目前一直使用天融信防火墙自带的ipsecvpn。除了因为网络问题带来的故障以外，可以说vpn功能基本达到了我们的需求。但是对于它的移动vpn，因为客户端的产品型号、操作系统及应用软件的差异，有必要另选用一套sslvpn满足移动办公访问学院内网的需求。

(4)身份认证：对于不同的应用，访问者的操作权限应该通过身份认证系统来实现。身份认证有利于保证被访问资源的安全，也是对远程接入安全控制的有益补充。