抵御病毒入侵應优先考慮防御，尤其是網路的訪問控制。對于一個大型企業來說，網路往往是四通八達、結构繁雜的，雜亂無章的網路也會導致訪問控制的臃腫和失效，并且會大幅度地增加工作的复雜和負擔……

　　今年4月，CNCERT/CC發布了《2006年網路安全工作報告》。報告顯示，2006年接收的網路安全事件報告有26476件，2005年為9112件，同比增長接近3倍; CNCERT/CC通過分布式蜜網捕獲的新的漏洞攻擊型惡意代碼數量每天達96個，每天捕獲次數高達3069次。金山公司發布的《2007年上半年中國電腦病毒疫情及網際網路安全報告》也顯示，今年上半年，全國計算机感染台數759万多台，与去年同期相比增長了12.2%。這兩個報告都反映出企業網路所處的環境越來越惡劣。如何應對來勢洶洶不斷增長的惡意攻擊，網路的訪問控制是抵御"病從口入"的關鍵。

　　抵御病毒入侵應优先考慮防御，尤其是網路的訪問控制。對于一個大型企業來說，網路往往是四通八達、結构繁雜的，雜亂無章的網路也會導致訪問控制的臃腫和失效，并且會大幅度地增加工作的复雜和負擔。因此，要做好網路安全，可以借鑒城市交通路網的規划和管理，進行網路划分，實施訪問控制，优先做好以下几點:

　　1. 網路划分總體規划

　　管理好網路連接是做好網路安全的重中之重。管理員應將整個網路的拓扑圖清理出來，掌握網路內部和網路之間的連接情況，按照一定的划分原則對網路進行總體規划。

　　首先，設立与網際網路連接的統一的DMZ(Demilitarized Zone，隔离區)，消除多個出口的問題。并設立与合作伙伴相連的合作區，采取合理适當的控制措施。

　　然后，設立不同的服務器區，可以按照業務用途、系統的重要性、管理功能等角度進行划分，但是要掌握一個度，不是划分得越細越好。如果划分過細，管理和控制的難度也會隨之提高。

　　2. 信息系統分層規划

　　企業一般的做法是把信息系統安裝在一台服務器上。由于運行的服務越多，遭受攻擊的風險越大，因此對信息系統進行分層規划，對保護整個信息系統的安全非常重要。對信息系統進行分層划分可分為三層: Web層、APP(Application，應用)層和DB(Database，數据庫)層，分別部署在不同的服務器上; 在信息系統分層的基礎上，進一步把Web層、APP層和DB層划分為不同的網段。這樣可以嚴格限制APP層和DB層的訪問途徑和訪問來源，對于Web層則采取針對性的安全防范和安全監控措施。

　　3.服務端口分類規划

　　做過大型網路防火牆管理的工程師大多碰到過這樣的困境: 如果策略限制嚴格，維護的策略條數就會非常多，管理極其困難; 如果策略限制寬松，控制的效果會被大打折扣。究其原因，往往是服務端口隨意設置，例如Oracle DB的端口有的是1521、有的是3000、有的是4000、有的是5万。在這种情況下，如果要嚴格限制，在防火牆上就得有4條不同的策略。

　　另外，監控人員在網路監控時如果碰到問題，也很難找到与哪個服務相關，他必須找到服務器管理員、應用系統管理員，甚至軟體開發人員，轉一大圈才能确定症結。這不但費力，而且會失去處理時机。因此，為了确保訪問控制的有效和方便，對服務端口進行分類規划相當重要。

　　正确的做法是制定整個企業服務端口的規范，例如Oracle DB可以使用的端口范圍是1521∼1529，其他服務不能使用這些端口。上面例子中的4條策略，只用一條策略就可以了。監控人員如果發現端口為 1521∼1529之間的問題，就可以立即定位到Oracle DB。

　　因此，網路划分對訪問控制的影響是非常重大的。如果按照上述方法進行網路划分，實施的訪問控制不但有效而且便利。