今年4月，CNCERT/CC发布了《2006年网络安全工作报告》。报告显示，2006年接收的网络安全事件报告有26476件，2005年为9112件，同比增长接近3倍; CNCERT/CC通过分布式蜜网捕获的新的漏洞攻击型恶意代码数量每天达96个，每天捕获次数高达3069次。金山公司发布的《2007年上半年中国电脑病毒疫情及互联网安全报告》也显示，今年上半年，全国计算机感染台数759万多台，与去年同期相比增长了12.2%。这两个报告都反映出企业网络所处的环境越来越恶劣。如何应对来势汹汹不断增长的恶意攻击，网络的访问控制是抵御“病从口入”的关键。

　　抵御病毒入侵应优先考虑防御，尤其是网络的访问控制。对于一个大型企业来说，网络往往是四通八达、结构繁杂的，杂乱无章的网络也会导致访问控制的臃肿和失效，并且会大幅度地增加工作的复杂和负担。因此，要做好网络安全，可以借鉴城市交通路网的规划和管理，进行网络划分，实施访问控制，优先做好以下几点:

　　1. 网络划分总体规划

　　管理好网络连接是做好网络安全的重中之重。管理员应将整个网络的拓扑图清理出来，掌握网络内部和网络之间的连接情况，按照一定的划分原则对网络进行总体规划。

　　首先，设立与互联网连接的统一的DMZ(Demilitarized Zone，隔离区)，消除多个出口的问题。并设立与合作伙伴相连的合作区，采取合理适当的控制措施。

　　然后，设立不同的服务器区，可以按照业务用途、系统的重要性、管理功能等角度进行划分，但是要掌握一个度，不是划分得越细越好。如果划分过细，管理和控制的难度也会随之提高。

　　2. 信息系统分层规划

　　企业一般的做法是把信息系统安装在一台服务器上。由于运行的服务越多，遭受攻击的风险越大，因此对信息系统进行分层规划，对保护整个信息系统的安全非常重要。对信息系统进行分层划分可分为三层: Web层、APP(Application，应用)层和DB(Database，数据库)层，分别部署在不同的服务器上; 在信息系统分层的基础上，进一步把Web层、APP层和DB层划分为不同的网段。这样可以严格限制APP层和DB层的访问途径和访问来源，对于Web层则采取针对性的安全防范和安全监控措施。

　　3.服务端口分类规划

　　做过大型网络防火墙管理的工程师大多碰到过这样的困境: 如果策略限制严格，维护的策略条数就会非常多，管理极其困难; 如果策略限制宽松，控制的效果会被大打折扣。究其原因，往往是服务端口随意设置，例如Oracle DB的端口有的是1521、有的是3000、有的是4000、有的是5万。在这种情况下，如果要严格限制，在防火墙上就得有4条不同的策略。

　　另外，监控人员在网络监控时如果碰到问题，也很难找到与哪个服务相关，他必须找到服务器管理员、应用系统管理员，甚至软件开发人员，转一大圈才能确定症结。这不但费力，而且会失去处理时机。因此，为了确保访问控制的有效和方便，对服务端口进行分类规划相当重要。

　　正确的做法是制定整个企业服务端口的规范，例如Oracle DB可以使用的端口范围是1521～1529，其他服务不能使用这些端口。上面例子中的4条策略，只用一条策略就可以了。监控人员如果发现端口为 1521～1529之间的问题，就可以立即定位到Oracle DB。

　　因此，网络划分对访问控制的影响是非常重大的。如果按照上述方法进行网络划分，实施的访问控制不但有效而且便利。