我们在中心机房的DMZ服务区上安装两台互为冗余备份的千兆防火墙，DMZ口通过交换机与WWW/FTP、DNS/MAIL服务器连接。同时，安装一台FW1000千兆防火墙，将安全与备份中心与其他区域逻辑隔离开来。

　　通过安装防火墙，实现下列的安全目标:

　　利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离，避免与外部网络直接通信;

　　利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全;

　　利用防火墙对来自外网的服务请求进行控制，使非法访问在到达主机前被拒绝;

　　利用防火墙使用IP与MAC地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;

　　利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作;

　　利用防火墙及服务器上的审计记录，形成一个完善的审计体系，建立第二条防线;

　　根据需要设置流量控制规则，实现网络流量控制，并设置基于时间段的访问控制。

　　2、入侵检测系统技术方案

　　我们建议在局域网中心交换机安装一台IDS千兆探测器，DMZ区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器，用以实时检测局域网用户和外网用户对主机的访问，在安全监控与备份中心安装一台IDS百兆探测器和IDS控制台，由系统控制台进行统一的管理(统一事件库升级、统一安全防护策略、统一上报日志生成报表)。

　　通过使用入侵检测系统，可以做到:

　　对网络边界点的数据进行检测，防止黑客的入侵;

　　对服务器的数据流量进行检测，防止入侵者的蓄意破坏和篡改;

　　监视内部用户和系统的运行状况，查找非法用户和合法用户的越权操作;

　　对用户的非正常活动进行统计分析，发现入侵行为的规律;

　　实时对检测到的入侵行为进行报警、阻断，能够与防火墙/系统联动;

　　对关键正常事件及异常行为记录日志，进行审计跟踪管理。

　　完成对以下的攻击识别:网络信息收集、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。

　　网络给某市政府带来巨大便利的同时，也带来了许多挑战，其中安全问题尤为突出。加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险会日益加重。引起这些风险的原因有多种，其中网络系统结构和系统的应用等因素尤为重要。主要涉及物理安全、链路安全、网络安全、系统安全、应用安全及管理安全等方面。通过以上方案的设计和实施，所有安全隐患就得到了良好的改善。