內(nèi)網(wǎng)安全設(shè)計(jì)方案（二）

系統(tǒng)內(nèi)部（包括系統(tǒng)內(nèi)/部門間應(yīng)用）服務(wù)器的安全要求：

所有的服務(wù)器都設(shè)在相應(yīng)的服務(wù)器網(wǎng)絡(luò)，同一系統(tǒng)內(nèi)的不同單位，我們可以在分布層允許它們互相通信。

通過賬號(hào)、密碼機(jī)制我們可以允許本單位和本系統(tǒng)內(nèi)其他單位的授權(quán)用戶訪問，再通過在路由器上設(shè)置ACCESS-LIST，可以加強(qiáng)這種安全性。

同樣我們通過帳號(hào)、密碼以及ACCESS-LIST安全特性，不允許其他用戶訪問。

服務(wù)器的安全管理非常重要�？梢詮膬蓚�(gè)級(jí)別來對(duì)它進(jìn)行保護(hù)，第一級(jí)別服務(wù)器網(wǎng)段的保護(hù)和第二級(jí)別服務(wù)器本身的保護(hù)。我們先說服務(wù)器本身的保護(hù)。

服務(wù)器本身的操作系統(tǒng)必須保持最新的更新，要必須密切注意操作系統(tǒng)的補(bǔ)丁程序，減少操作系統(tǒng)本身的安全漏洞問題。

關(guān)閉不必要的TCP/UDP端口。

關(guān)閉不必要的服務(wù)。

關(guān)閉不必要的共享文件夾。

認(rèn)真審核各個(gè)文件夾的用戶權(quán)限。

對(duì)文件夾進(jìn)行安全審核，記錄文件夾的被訪問情況。

公共網(wǎng)段的安全要求

認(rèn)證、授權(quán)及記帳（AAA）、安全服務(wù)器協(xié)議、流量過濾和防火墻、IP安全和加密技術(shù)可以對(duì)網(wǎng)段提供高安全保護(hù)。認(rèn)證提供了識(shí)別用戶的方法，它在允許用戶訪問網(wǎng)絡(luò)以及網(wǎng)絡(luò)資源之前確認(rèn)用戶的身份；授權(quán)提供了訪問控制的方法，它包括一次性授權(quán)和對(duì)每個(gè)服務(wù)進(jìn)行授權(quán)；記帳提供了收集和發(fā)送帳單信息、審計(jì)信息以及報(bào)告信息的手段。安全服務(wù)器協(xié)議提供配置RADIUS、Kerberos、TACACS+、TACACS和擴(kuò)展TACACS的方法、命令和過程。流量過濾和防火墻提供了網(wǎng)絡(luò)設(shè)備進(jìn)行流量過濾以及如何把網(wǎng)絡(luò)設(shè)備配置成精細(xì)入微的防火墻。IP安全與加密部分提供Cisco 加密技術(shù)、配置IPSec、配置證書認(rèn)證機(jī)構(gòu)（CA）的互操作能力以及配置Internet密鑰交換的方法。