3.2.2防火墻技術

    1）防火墻體系結構

    ①雙重宿主主機體系結構

    防火墻的雙重宿主主機體系結構是指一臺雙重宿主主機作為防火墻系統的主體，執行分離外部網絡和內部網絡的任務。

    ②被屏蔽主機體系結構

    被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻。強迫所有的外部主機與一個堡壘主機相連。而不讓其與內部主機相連。

    ③被屏蔽子網體系結構

    被屏蔽子網體系結構的最簡單的形式為使用兩個屏蔽路由器，位于堡壘主機的兩端，一端連接內網，一端連接外網。為了入侵這種類型的體系結構。入侵者必須穿透兩個屏蔽路由器。

    2）企業防火墻應用

    ①企業網絡體系中的三個區域

    邊界網絡。此網絡通過路由器直接面向Internet，通過外圍防火墻將數據轉發到外圍網絡。

    外圍網絡。即DMZ，將用戶連接到Web服務器或其他服務器，Web服務器通過內部防火墻連接到內部網絡。

    內部網絡。連接各個內部服務器（如企業OA服務器，ERP服務器等）和內部用戶。

    ②防火墻及其功能

    在企業網絡中。常常有兩個不同的防火墻：外圍防火墻和內部防火墻。雖然任務相似，但側重點不同，外圍防火墻主要提供對不受信任的外部用戶的限制，而內部防火墻主要防止外部用戶訪問內部網絡并且限制內部用戶非授權的操作。

    在以上3個區域中，雖然內部網絡和DMZ都屬于企業內部網絡的一部分，但他們的安全級別不同，對于要保護的大部分內部網絡，一般禁止所有來自Intemet用戶的訪問；而企業DMZ區，限制則沒有那么嚴格。

    3.2.3VPN技術

    VPN（Virtual Private Network）虛擬專用網絡。一種通過公用網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。位于不同地方的兩個或多個企業內部網之間就好像架設了一條專線，但它并不需要真正地去鋪設光纜之類的物理線路。

    企業用戶采用VPN技術來構建其跨越公共網絡的內聯網系統，與Internet進行隔離，控制內網與Internet的相互訪問。VPN設備放置于內部網絡與路由器之間，將對外服務器放置于VPN設備的DMZ 口與內部網絡進行隔離，禁止外網直接訪問內網，控制內網的對外訪問。

    3.3應用系統安全

    企業應用系統安全包括兩方面。一方面涉及用戶進入系統的身份鑒別與控制，對安全相關操作進行審核等。另一方面涉及各種數據庫系統、Web、FTP服務、E-MAIL等

    病毒防護是企業應用系統安全的重要組成部分，企業在構建網絡防病毒系統時，應全方位地布置企業防毒產品。

    在網絡骨干接入處。安裝防毒墻，對主要網絡協議（SMTP、FTP、Http）進行殺毒處理；在服務器上安裝單獨的服務器殺毒產品，各用戶安裝網絡版殺毒軟件客戶端；對郵件系統，可采取安裝專用郵件殺毒產品。

    4結束語

    本文從網絡安全及其建設原則進行了論述。對企業網絡安全建設的解決方案進行了探討和總結。石化企業日新月異，網絡安全管理任重道遠，網絡安全已成為企業安全的重要組成部分、甚而成為企業的本質安全。加強網絡安全建設，確保網絡安全運行勢在必行。