通过与一些小型企业的接触，我发现目前好多小型公司的网络结构为简非常单的路由器光纤接入，内连交换机，终端计算机服务器直接通过路由器接入internet，如下图：

这是一个基本的网络结构，仅仅保证了一个网络的联通性，但是内网用户及服务器完全暴露在网络上，没有任何防护，在安全方面存在有很大的漏洞，很让我们为之担忧，我认为我们与客户接触不应但是做生意，还应该设身处地的为客户实实在在的解决一些问题，虽然这次我提到的东西比较陈旧，但是我觉得还是应该重新让那些不太重视安全的小型企业了解一下，起码给自己的网络做一个基本的安全防护。我们先从网络层说起。

我们都知道微软的系统本身就存在有很多漏洞，在微软的官方网站每个月的11号都会发布针对该产品的一系列高危漏洞。前段时间刚刚发布一个隐藏了19年之久的长老漏洞，不仅如此，由于计算机用户人员安全意识，计算机水平上的不同等因素，甚至是一些已经被发现的而且是经常被用来重播木马蠕虫等恶意程序病毒的高危漏洞如MS08-067，那么这些一直以及位置的漏洞暴露在网络上就给我们的终端用户以及服务器带来了极大地安全隐患，哪些通过微软系统漏洞进行传播的病毒木马很容易就会侵入公司内部，对终端用户及服务器造成破坏影响正常办公使用。

因此我们应该在网络出口处架设防火墙设备，对端口进行管理。封闭没用的端口只开放有用的端口。

它所实现的主要作用是：

l       过滤进出网络的数据包；

l       管理进出网络的访问行为；

l       封堵某些禁止的访问行为；

l       记录通过防火墙的信息内容和活动；

l       对网络攻击进行检测和告警

l       能过滤大部分的危险端口

l       设置严格的外向内的状态过滤规则

l       抵挡大部分的拒绝服务攻击

l       加强了访问控制能力

添加防火墙的方法有两种，一种是放在路由器的前方，或是直接将路由器代替，建议直接将路由器代替，不仅可以减少路由跳数，还可以减少单点故障概率。如下图

有了防火墙我们还需要桌面端防毒产品，因为单单有防火墙是远远不能满足我们的安全需求的，举一个例子，我们把网络比作一幢建筑物，而防火墙所起的作用就是将没用的窗户下水管道等漏洞进行封堵不让人员通过，只留下必要的门来做进出通道。

    虽然我们阻挡了企图利用漏洞进行攻击传播的恶意程序，但是同过正常端口进来的数据我们无法进行甄别，就好比一个伪装成建筑物内员工或是有管理权限口令的恶意破坏者从正常通道内进入建筑物进行破坏，因此我们还应当部署桌面端杀毒软件，对通过正常端口进来的数据进行扫描甄别，如果发现有恶意程序如木马病毒蠕虫等可以及时查杀，从而保证我们终端计算机以及服务器的安全。

    建议企业部署网络版杀毒软件。通过网络版杀毒软件病毒日志的统计功能我们可以及时清楚的掌握网络内的安全状况，从而有针对性的对网内问题严重的计算机进行管理，还可以根据计算机使用的安全情况有针对性的对员工进行计算机安全使用知识的培训。为企业终端计算机的正常使用增加安全系数。

    有了最基本的安全防护，为了提高工作效率有的企业还有必要使用技术手段规范员工的网络使用范围，使用上网行为管理设备，可以有效的针对应用限制用户的上网行为，并且可以对流量进行分配管理，确保在工作时间内网络的使用可以最大限度的为正常的工作所占用。

    如果服务器有重要数据需要分公司或移动办公人员访问，应当使数据在传输过程中被加密，这就要用到ipsec vpn或ssl vpn.