防火牆和交換機結合實現內外網隔離

隨著網絡技術和因特網技術的成熟和高速發展，越來越多的企事業單位開始組建網絡來實現辦公自動化和共享因特網的信息。但是， 安全問題也突現出來，iMaxNetworks(記憶網絡公司)根據電子政務網絡的特點提出了以交換機、防火牆和交換機相結合實現內外網隔離的解決方案。

　　方案一：交換機實現內外網的物理隔離

　　網絡系統由內部局域網和外部因特網兩（電腦沒聲音）個相對獨立又相互關聯的部分組成，均采用星形拓撲結構和100M交換式快速以太網技術。內部網與外部網之間不存在物理上的連接，使來自Internet的入侵者無法通過計算機從外部網進入內部網，從而最有效地保障了內部網重要數據的安全，內部局域網和外部因特網實現物理隔離。

　　imaxnetworks終端提供了經濟安全的內外網物理隔離功能，它通過物理開關進行內外網的切換，在物理上信息終端只與其中一個網絡連通，所以黑客即使侵入其中一個網絡也無法越過物理屏障侵入另一個網絡。建立內外網隔離方案需要在內網和外網各安裝至少一台終端服務器。

　　方案二：防火牆和交換機結合，實現內外網隔離

　　VLAN隔離內外網：電子政務網絡中存在多種業務，要實現多網的統一互聯，同時又要保證各個網絡的安全，除了在應用層上通過加密、簽名等手段避免數據洩漏和篡改外，在局域網的交換機上采用VLAN技術進行，將不同業務網的設備放置在不同的VLAN中進行物理隔離，徹底避免各網之間的不必要的任意相互訪問。在實現VLAN的技術中，以基於以太網交換機端口的VLAN(IEEE 802.1Q)最為成熟和安全。防火牆訪問控制保證。

　　網絡核心安全：為了網絡構建簡單，避免采用太多的設備使管理復雜化，從而降低網絡的安全性，可以放置一個高速防火牆，如圖所示，通過這個這個防火牆，對所有出入中心的數據包進行安全控制及過濾，保證訪問核心的安全。另外，為保證業務主機及數據的安全，不允許辦公網及業務網間的無控制互訪，應在進行VLAN劃分的三層交換機內設置ACL。

　　數據加密傳輸：對於通過公網(寬帶城域網)進行傳輸的數據及互聯，數據加密是必須的，在對關鍵業務做加密時，可以考慮采用更強http://.的加密算法。

　　設置DMZ區進行外部訪問：通常對於外部網絡的接入，必須采取的安全策略是拒絕所有接受特殊的原則。即對所有的外部接入，缺省認為都是不安全的，需要完全拒絕，只有一些特別的經過認證和允許的才能進入網絡內部。與網絡中心及其它內部局域網之間的互連采用停火區(DMZ)，設置集中認證點對接入用戶進行安全認證，認證及相關服務器位於停火區，業務通過代理服務器進行交換，不允許外部網絡直接訪問內部系統。 防火牆和交換機結合實現內外網隔離