在苏州，公司的网络安全越来越受到重视，作为苏州工作的主流CCNP工程师们，如何构架一个安全的网络呢？

 网络安全系统主要依靠防火墙、网越络防病毒系统等技术在网络层构筑一道安全屏障，并通过把不同的产品集成在同一个安全管理平台上，实现网络层的统一、集中的安全管理。
网络层安全平台
    选择网络层安全平台时主要考虑这个安全平台能否与其他相关的网络安全产品集成，能否对这些安全产品进行统一的管理，包括配置各相关安全产品的安全策略、维护相关安全产品的系统配置、检查并调整相关安全产品的系统状态等。
一个完善的网络安全平台至少需要部署以下产品：
    防火墙：网络的安全核心，提供边界安全防护和访问权限控制；
    网络防病毒系统：杜绝病毒传播，提供全网同步的病毒更新和策略设置，提供全网杀毒。
安全网络拓扑结构划分
    防火墙主要是防范不同网段之间的攻击和非法访问。由于攻击的对象主要是各类计算机，所以要科学地划分计算机的类别来细化安全设计。在整个内网当中，根据用途可以将计算机划分为三类：内部使用的工作站与终端、对外提供服务的应用服务器，以及重要数据服务器。这三类计算机的作用不同，重要程度不同，安全需求也不同：
    第一，重点保护各种应用服务器，特别是要保证数据库服务的代理服务器的绝对安全，不能允许用户直接访问。对应用服务器，则要保证用户的访问是受到控制的，要能够限制能够访问该服务器的用户范围，使其只能通过指定的方式进行访问。
    第二，数据服务器的安全性要大于对外提供多种服务的WWW服务器、E-mail服务器等应用服务器。所以数据库服务器在防火墙定义的规则上要严于其他服务器。
    第三，内部网络有可能会对各种服务器和应用系统的直接的网络攻击，所以内部办公网络也需要和代理服务器、对外服务器（WWW、E-mail）等隔离开。
    第四，不能允许外网用户直接访问内部网络。
    上述安全需求，需要通过划分出安全的网络拓扑结构，并通过VLAN划分、安全路由器配置和防火墙网关的配置来控制不同网段之间的访问控制。划分网络拓扑结构时，一方面要保证网络的安全，另一方面不能对原有网络结构做太大的更改，为此建议采用以防火墙为核心的支持非军事化区的三网段安全网络拓扑结构。
    根据这种应用模式，使用非军事化区结构的网络拓扑是一种很自然的提高安全性的措施。如右图所示，在防火墙上安装三块网卡，分别连接三个不同网段：外网、内网和DMZ。安全设置如下：

三网段安全网络拓扑结构
    1. 内网用户可以被授权访问外网和DMZ中的服务器；
    2. 外网用户只能够访问到DMZ中的相关服务器，不能访问内网；
    3. DMZ还放置各种应用服务器，应用模式中，对应的是各种Web服务器。这些服务器允许有控制地被各种用户访问，也能主动访问Internet。建议不允许DMZ服务器主动访问内网主机；
    4. 在内网某台服务器上安装网络版防病毒软件的系统中心，定制全网杀毒策略并监控网络病毒情况；
    5. 通过网络版防病毒软件的漏洞检测功能可以及时发现内网机器存在的漏洞，及时查堵防患未然。