隨著企業(yè)網(wǎng)絡(luò)規(guī)模的不斷擴大，企業(yè)存儲系統(tǒng)上的敏感數(shù)據(jù)越來越多，如何保護企業(yè)系統(tǒng)不被非法訪問？這一問題現(xiàn)在顯得越來越重要，企業(yè)用戶應(yīng)采用安全訪問控制技術(shù)，打造行之有效的網(wǎng)絡(luò)安全體系。
構(gòu)建安全體系
（1） 明確網(wǎng)絡(luò)資源
事實上很多情況我們并不能確定誰在攻擊系統(tǒng)，作為網(wǎng)絡(luò)管理員在制訂安全策略之初，應(yīng)當(dāng)充分了解企業(yè)的內(nèi)部構(gòu)架，企業(yè)要保護什么，需要什么樣的訪問，以及如何協(xié)調(diào)所有的網(wǎng)絡(luò)資源和訪問。
（2） 確定網(wǎng)絡(luò)訪問點
網(wǎng)絡(luò)管理員應(yīng)當(dāng)了解潛在的入侵者會在哪里威脅或進入系統(tǒng)。通常通過網(wǎng)絡(luò)連接、入侵主機系統(tǒng)成為攻擊者的首選。
（3） 限制用戶訪問的范圍
應(yīng)當(dāng)在網(wǎng)絡(luò)中構(gòu)筑多道安全屏障，使入侵者不能輕易侵入整個系統(tǒng)，尤其要注意網(wǎng)絡(luò)中關(guān)鍵敏感地區(qū)的防范必須單獨制訂。
（4） 明確安全隱患
每個安全系統(tǒng)都有一定的隱患的，依次管理員在指定安全策略前需要對整個系統(tǒng)做一些可能存在的假設(shè)。一定要認真檢查和確認安全假設(shè)，否則隱藏的問題就會成為系統(tǒng)潛在的安全漏洞。
（5） 不可忽略人的因素
在構(gòu)建安全體系時，人的因素是非常重要的。即便網(wǎng)絡(luò)管理員制定了非常完善的安全制度，如果操作人員不認真執(zhí)行，也無疑會為不法入侵者大開方便之門。
（6） 實現(xiàn)深層次的安全
對系統(tǒng)的任何改動都可能會影響安全，因此系統(tǒng)管理員、程序員和用戶需要充分考慮變動將會造成的附帶影響。構(gòu)建安全體系的目標(biāo)之一是使系統(tǒng)具有良好的可伸縮性，而且不易影響系統(tǒng)的安全性。
一般來說，我們把網(wǎng)絡(luò)的安全訪問控制體系分為企業(yè)內(nèi)部網(wǎng)絡(luò)的控制體系和企業(yè)外部網(wǎng)絡(luò)的控制體系這兩大部分。從技術(shù)角度而言，主要采用虛網(wǎng)（VLAN）技術(shù)、路由器訪問控制列表（ACL）、TACACS+或RADIUS認證服務(wù)和防火墻技術(shù)等。
企業(yè)內(nèi)部網(wǎng)的安全
企業(yè)內(nèi)部網(wǎng)面臨的安全問題主要在于：
（1） 如何控制網(wǎng)絡(luò)不同部門之間的互相訪問；
（2） 如何對不斷變更的用戶進行有效的管理；
（3） 如何防止網(wǎng)絡(luò)廣播風(fēng)暴影響系統(tǒng)關(guān)鍵業(yè)務(wù)的正常運轉(zhuǎn)，甚至導(dǎo)致系統(tǒng)的崩潰；
（4） 如何加強遠程撥號用戶的安全認證管理。
1、虛網(wǎng)技術(shù)
針對上述的前三個問題，我們一般采用虛網(wǎng)（VLAN）技術(shù)。虛網(wǎng)是由一些端系統(tǒng)（主機、交換機或路由器）組成的一個虛擬的局域網(wǎng)。虛網(wǎng)超越了傳統(tǒng)的局域網(wǎng)的物理位置局限，端系統(tǒng)可以分布于網(wǎng)絡(luò)中不同的地理位置，但都屬于同一邏輯廣播域。虛網(wǎng)具有如下三個優(yōu)點。
第一，網(wǎng)絡(luò)管理員能夠輕易控制不同虛網(wǎng)間的互相訪問能力。我們可以將同一部門或?qū)儆谕辉L問功能組的用戶劃分在同一虛網(wǎng)中，虛網(wǎng)內(nèi)的用戶之間可以通過交換機或路由器相互連通。網(wǎng)絡(luò)管理員甚至還可以通過虛網(wǎng)的安全訪問列表來控制不同虛網(wǎng)之間的訪問。目前，實現(xiàn)虛網(wǎng)的劃分有多種方法，我們可以按照物理端口來劃分，也可以按照不同的網(wǎng)絡(luò)協(xié)議如IP、IPX等進行劃分，也可以按照MAC地址來劃分，甚至可以根據(jù)應(yīng)用類型來劃分。具體采用何種劃分辦法要看用戶的具體需求和所選用的網(wǎng)絡(luò)產(chǎn)品。
第二，是對廣播信息的有效控制。這要求機構(gòu)的域中包含的廣播和多信宿組與用戶位置無關(guān)。如果不考慮廣播組整個大小的話，網(wǎng)絡(luò)設(shè)計者、規(guī)劃人員和管理員將可能不慎創(chuàng)建大型的平面網(wǎng)絡(luò)拓撲，而在用戶間卻只有(甚至沒有)廣播防火墻。虛網(wǎng)是控制這些廣播信息轉(zhuǎn)發(fā)的有效技術(shù)。它們的布置結(jié)構(gòu)最大限度地減少了對最終用戶站、網(wǎng)絡(luò)服務(wù)器和處理關(guān)鍵業(yè)務(wù)數(shù)據(jù)的骨干部分的性能影響。虛網(wǎng)的發(fā)展趨勢是邁向更成熟的跨越網(wǎng)絡(luò)園區(qū)的帶寬和性能管理。
第三，便于管理的更改，而整個網(wǎng)絡(luò)范圍內(nèi)與用戶增加、移動和物理位置變更相關(guān)的對管理工作的要求，也大為減少。由于網(wǎng)絡(luò)管理部門精力有限，技術(shù)水平也參差不齊，所以這是很關(guān)鍵的要求。這從很大程度上方便了網(wǎng)絡(luò)系統(tǒng)的安全訪問控制管理。
基于虛擬局域網(wǎng)本身的優(yōu)點，我們能有效解決前述的網(wǎng)絡(luò)安全問題。但虛網(wǎng)的劃分是一項復(fù)雜細致的工作，我們應(yīng)緊密依據(jù)用戶應(yīng)用的實際要求，結(jié)合實際工程經(jīng)驗，作出詳細合理的規(guī)劃。
2、路由器訪問控制列表（ACL）
路由器訪問控制列表提供了對路由器端口的一種基本安全訪問技術(shù)，也可認為是一種內(nèi)部防火墻技術(shù)。訪問控制列表一般是基于網(wǎng)絡(luò)協(xié)議的，也就是說網(wǎng)絡(luò)管理員必須對路由器接口上運行的各種協(xié)議分別進行配置。路由器訪問控制列表分為靜態(tài)和動態(tài)兩種。通常采用靜態(tài)的控制列表，能支持多種路由協(xié)議，而動態(tài)的控制列表只能支持IP協(xié)議，但提供相對多的安全功能。一般路由器訪問控制列表的控制功能在于對每個接口控制包的傳輸，典型的參數(shù)包括數(shù)據(jù)包的源地址、目的地址以及包的協(xié)議。對于具體的協(xié)議，都有相應(yīng)的一系列參數(shù)可以定義。
3、加強內(nèi)部撥號用戶的安全認證管理
在網(wǎng)絡(luò)規(guī)模較小，只有少數(shù)的訪問服務(wù)器提供遠程撥號訪問時，一般采用訪問服務(wù)器的本地安全數(shù)據(jù)庫來提供安全認證。隨著網(wǎng)絡(luò)規(guī)模的增長以及對訪問安全要求的提高，一般需要一臺安全服務(wù)器為所有的撥號用戶提供集中的安全數(shù)據(jù)庫，用戶無需在每臺訪問路由器上增加或更改撥號用戶安全信息，從而有助于實現(xiàn)統(tǒng)一的訪問控制策略。
一般常用的TACACS+或RADIUS協(xié)議，能夠支持鑒別、授權(quán)和記帳功能。鑒別功能允許用戶對不同的訪問服務(wù)器接口使用不同的認證協(xié)議，TACACS+還支持智能卡。授權(quán)功能允許定義用戶的各種安全參數(shù)，如用戶級別和網(wǎng)絡(luò)過濾等。通常我們通過訪問控制列表來限制用戶對網(wǎng)絡(luò)資源的訪問。記帳功能將忠實地記錄并跟蹤用戶對網(wǎng)絡(luò)的訪問，這對安全管理無疑是非常重要的。為了實現(xiàn)TACACS+或RADIUS協(xié)議的安全服務(wù)，通常我們在一臺專門的安全服務(wù)器上運行支持TACACS+或RADIUS協(xié)議的安全軟件，如CiscoSecure。