随着企业网络规模的扩大，企业存储在系统上的关键和敏感的数据越来越多，如何保护系统不被非法访问　这一问题显得越来越重要，因此企业网应采用先进的安全访问控制技术，构造有效的网络安全体系。

　　构建安全体系

　　(1) 明确网络资源
　　事实上我们不能确定谁会来攻击系统，所以作为网络管理员在制订安全策略之初应当充分了解企业的内部构架，了解要保护什么，需要什么样的访问，以及如何协调所有的网络资源和访问。
　　(2) 确定网络访问点
　　网络管理员应当了解潜在的入侵者会从哪里进入系统。通常是通过网络连接、拨号访问以及配置不当的主机入侵系统。
　　(3) 限制用户访问的范围
　　应当在网络中构筑多道屏障，使得非法闯入系统者不能自动进入整个系统，尤其要注意网络中关键敏感地区的防范。
　　(4) 明确安全设想
　　每个安全系统都有一定的假设。一定要认真检查和确认安全假设，否则隐藏的问题就会成为系统潜在的安全漏洞。
　　(5) 充分考虑人的因素
　　在构建安全体系时，人的因素是非常重要的。即便网络管理员制定了非常完善的安全制度，如果操作员不认真执行，也无疑会为不法入侵者大开方便之门。
　　(6) 实现深层次的安全
　　对系统的任何改动都可能会影响安全,因此系统管理员、程序员和用户需要充分考虑变动将会造成的附带影响。构建安全体系的目标之一是使系统具有良好的可伸缩性，而且不易影响系统的安全性。
　　一般来说，我们把网络的安全访问控制体系分为企业内部网络的控制体系和企业外部网络的控制体系这两大部分。从技术角度而言，主要采用虚网技术、路由器访问控制列表、TACACS＋或RADIUS认证服务和防火墙技术，如图所示。

　　企业内部网的安全

　　企业内部网面临的安全问题主要在于：
　　(1) 如何控制网络不同部门之间的互相访问；
　　(2) 如何对不断变更的用户进行有效的管理；
　　(3) 如何防止网络广播风暴影响系统关键业务的正常运转，甚至导致系统的崩溃；
　　(4) 如何加强远程拨号用户的安全认证管理。

　　1.虚网技术
　　针对上述的前三个问题，我们一般采用虚网(VLAN)技术。虚网是由一些端系统(主机、交换机或路由器)组成的一个虚拟的局域网。虚网超越了传统的局域网的物理位置局限，端系统可以分布于网络中不同的地理位置，但都属于同一逻辑广播域。虚网具有如下三个优点。
　　虚网的第一个优点是网络管理员能够轻易控制不同虚网间的互相访问能力。我们可以将同一部门或属于同一访问功能组的用户划分在同一虚网中，虚网内的用户之间可以通过交换机或路由器相互连通。网络管理员甚至还可以通过虚网的安全访问列表来控制不同虚网之间的访问。目前，实现虚网的划分有多种方法，我们可以按照物理端口来划分，也可以按照不同的网络协议如IP、IPX等进行划分，也可以按照MAC地址来划分，将来还可以根据应用类型来划分。具体采用何种划分办法要看用户的具体管理需求和所选用的网络产品。
　　第二个优点就是对广播信息的有效控制。这要求机构的域中包含的广播和多信宿组与用户位置无关。如果不考虑广播组整个大小的话，网络设计者、规划人员和管理员将可能不慎创建大型的平面网络拓扑，而在用户间却只有(甚至没有)广播防火墙。虚网是控制这些广播信息转发的有效技术。它们的布置结构最大限度地减少了对最终用户站、网络服务器和处理关键业务数据的骨干部分的性能影响。虚网的发展趋势是迈向更成熟的跨越网络园区的带宽和性能管理。
　　第三个优点是便于管理的更改，而整个网络范围内与用户增加、移动和物理位置变更相关的对管理工作的要求，也大为减少。由于网络管理部门精力有限，技术水平也参差不齐，所以这是很关键的要求。这从很大程度上方便了网络系统的安全访问控制管理。
　　基于虚网本身的优点，我们能有效解决前述的网络安全问题。但虚网的划分是一项复杂细致的工作，我们应紧密依据用户应用的实际要求，结合实际工程经验，作出详细合理的规划。

　　2.路由器访问控制列表
　　路由器访问控制列表提供了对路由器端口的一种基本安全访问技术，也可认为是一种内部防火墙技术。访问控制列表一般是基于网络协议的，也就是说网络管理员必须对路由器接口上运行的各种协议分别进行配置。路由器访问控制列表分为静态和动态两种。通常采用静态的控制列表，能支持多种路由协议，而动态的控制列表只能支持IP协议，但提供相对多的安全功能。一般路由器访问控制列表的控制功能在于对每个接口控制包的传输，典型的参数包括数据包的源地址、目的地址以及包的协议。对于具体的协议，都有相应的一系列参数可以定义。

　　3.加强内部拨号用户的安全认证管理
　　在网络规模较小，只有少数的访问服务器提供远程拨号访问时，一般采用访问服务器的本地安全数据库来提供安全认证。随着网络规模的增长以及对访问安全要求的提高，一般需要一台安全服务器为所有的拨号用户提供集中的安全数据库，用户无需在每台访问路由器上增加或更改拨号用户安全信息，从而有助于实现统一的访问控制策略。
　　一般常用的TACACS＋或RADIUS协议，能够支持鉴别、授权和记帐功能。鉴别功能允许用户对不同的访问服务器接口使用不同的认证协议，TACACS＋还支持智能卡。授权功能允许定义用户的各种安全参数，如用户级别和网络过滤等。通常我们通过访问控制列表来限制用户对网络资源的访问。记帐功能将忠实地记录并跟踪用户对网络的访问，这对安全管理无疑是非常重要的。为了实现TACACS＋或RADIUS协议的安全服务，通常我们在一台专门的安全服务器上运行支持TACACS＋或RADIUS协议的安全软件，如CiscoSecure。