1.1.1.2防火墙对内部非法用户的防范

网络内部的环境比较复杂，而且各子网的分布地域广阔，网络用户、设备接入的可控性比较差，因此，内部网络用户的可靠性并不能得到完全的保证。

特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。

为了保障内部网络运行的可靠性和安全性，我们必须要对它进行详尽的分析，尽可能防护到网络的每一节点。

对于一般的网络应用，内部用户可以直接接触到网络内部几乎所有的服务，网络服务器对于内部用户缺乏基本的安全防范，特别是在内部网络上，大部分的主机没有进行基本的安

全防范处理，整个系统的安全性容易受到内部用户攻击的威胁，安全等级不高。

根据国际上流行的处理方法，我们把内部用户跨网段的访问分为两大类：其一，是内部网络用户之间的访问，即单机到单机访问。

这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次，是内部网络用户对内部服务器的访问，这一类应用主要发生在内部用户的业务处理时。

一般内部用户对于网络安全防范的意识不高，如果内部人员发起攻击，内部网络主机将无法避免地遭到损害，特别是针对于NETBIOS文件共享协议，已经有很多的漏洞在网上公开报道，如果网络主机保护不完善，就可能被内部用户利用"黑客"工具造成严重破坏。

1.1.2入侵检测系统

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，入侵者也可能就在防火墙内。

网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。

当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。

网络监控系统可以部署在网络中有安全风险的地方，如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。

在重点保护区域，可以单独各部署一套网络监控系统(管理器+探测引擎)，也可以在每个需要保护的地方单独部署一个探测引擎，在全网使用一个管理器，这种方式便于进行集中管理。

在内部应用网络中的重要网段，使用网络探测引擎，监视并记录该网段上的所有操作，在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。

同时，网络监视器还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。

需要说明的是，IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。

按照现阶段的网络及系统环境划分不同的网络安全风险区域，x市政府本期网络安全系统项目的需求为：

区域部署安全产品

内网连接到Internet的出口处安装两台互为双机热备的海信FW3010PF-4000型百兆防火墙;在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器;在主干交换机上安装NetHawk网络安全监控与审计系统;在内部工作站上安装趋势防毒墙网络版防病毒软件;在各服务器上安装趋势防毒墙服务器版防病毒软件。

DMZ区在服务器上安装趋势防毒墙服务器版防病毒软件;安装一台InterScan

VirusWall防病毒网关;安装百兆眼镜蛇入侵检测系统探测器和NetHawk网络安全监控与审计系统。

安全监控与备份中心安装FW3010-5000千兆防火墙，安装RJ-iTOP榕基网络安全漏洞扫描器;安装眼镜蛇入侵检测系统控制台和百兆探测器;安装趋势防毒墙服务器版管理服务器，趋势防毒墙网络版管理服务器，对各防病毒软件进行集中管理。