按照企业网络安全的特点和需求，明快网络在技术和设备的选择上本着切合实际、保护投资、着眼未来的原则。该方案中主要涉及到两类安全产品（Firewall/IDS）一个推荐品牌（NOKIA）

    防火墙的配置   

在安全设计中，防火墙最重要的安全防范手段。根据我们的设计，防火墙必须实现如下功能：

访问控制：通过对特定网段、端口、服务建立的访问控制体系，控制各网段间的访问，将绝大多数攻击阻止在到达攻击目标之前。

检查安全漏洞：通过对安全漏洞的周期检查，及时修正。即使攻击可到达攻击目标，也可使绝大多数攻击无懈可击。 

攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动，如断开网络连接、记录攻击过程、跟踪攻击源等。

加密通讯：可以和外围设备建立加密通道，使攻击者不能在线路上窃听、修改敏感信息。如建立中心和营业部间的VPN通讯，保证数据在传输过程中的安全性

认证：建立统一认证体系，可防止攻击者假冒合法用户。

备份和负载均衡：多台设备可以建立Cluster，实现热备份和负载均衡，保证安全系统的稳定、可靠，也扩展了防火墙的处理能力。

隐藏内部信息：通过NAT（网络地址转换），隐藏内部IP地址，使攻击者不能了解系统内的网络情况。

    入侵检测(IDS)
入侵检测系统的作用

入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用：

通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生；

检测其它安全措施未能阻止的攻击或安全违规行为；

检测黑客在攻击前的探测行为，预先给管理员发出警报；

报告计算机系统或网络中存在的安全威胁；

提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补；

在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。

入侵检测系统的主要类型

按数据来源的不同，可以将入侵检测系统分为基于网络的入侵检测和基于主机的入侵检测。

基于主机的入侵检测系统     基于主机的入侵检测系统通常是安装在被保护的主机上，主要是对该主机的网络实时连接以及系统审计日志进行分析和检查，当发现可疑行为和安全违规事件时，系统就会向管理员报警，以便采取措施。

基于网络的入侵检测系统     基于网络的入侵检测系统一般安装在需要保护的网段中，实时监视网段中传输的各种数据包，并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件，入侵检测系统就会发出警报甚至切断网络连接。基于网络的入侵检测系统如同网络中的摄像机，只要在一个网络中安放一台或多台入侵检测引擎，就可以监视整个网络的运行情况，在黑客攻击造成破坏之前，预先发出警报。基于网络的入侵检测系统自成体系，它的运行不会给原系统和网络增加负担。

入侵检测系统主要的检测方法

 有基于攻击特征的模式匹配法和基于行为的统计分析法。它们各有优缺点：

 模式匹配法     主要适用于对已知攻击方法的检测，通过分析攻击的原理和过程，提取有关的特征，建立攻击特征库，对截获的数据进行分析和模式匹配，这种方法的优点是识别准确，误报率低，但它对未知的攻击方法却无能为力，并且当新的攻击方法出现时，需要及时更新特征库。

 基于行为的统计分析法对未知攻击和可疑活动有一定的识别能力，但误报率高。

 现在优秀的入侵检测系统一般都综合运用了上述两种检测方法。