证券期货系统网络安全完美解决方案

　　证券交易系统网络的目标是通过系统及网络配置，及检测预警、安全扫描、网络防病毒等软、硬件，对出入口的信息进行严格的控制;对网络中所有的装置(如Web、器和内部网络等)进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，并有效地防止黑客入侵和病毒扩散，并能监控整个网络的运行状况。

　　其整体安全策略为：

　　用户设备情况：用户拥有几百台PC机、一台准备用作DNSSERVER和EMAILSERVER的、一台CISCO的5500机、和一台CISCO的7500器。另外，其打算联入INTERNET 的电信线路和广域网路由器尚未准备好。

　　用户要求：通过保证内部网的最大安全，并一定程度上保证服务器的安全;内部网各个PC机可以上INTERNET。将CISCO的5500机划分若干VLAN ，并利用CISCO的7500路由器做TRUNK来为各个VLAN 做路由(7500除此以外,还有其他用途)。

　　网络的实现：

　　安全性的实现：

　　需要注意的问题：

　　由于防火墙的外网接入INTERNET，其包括的IP地址近似无穷多，所以，防火墙上的默认网关，自然应该指向外网口。

　　另外，防火墙的外网由于联入INTERNET，所以，应具有一个合法IP地址。EMAIL SERVER 和DNS 服务器由于要为与外界联系而提供服务，所以也应具有一个合法IP。又因为防火墙在路由模式下各安全区应在不同网段，那么，DMZ区和外网就会带来一些问题。我们可以通过划分子网和把DMZ区的机器做NAT地址映射来解决这个问题。