A：上网行为管理系统，有软件的，也有硬件的。如果只是纯粹的限速，可网管交换机一般都能实现。用上网行为管理系统，好一点的，可以直接禁用P2P、电影网站，效果比较好。

　　Q：我现在所工作的企业内网已经划分出来了内网与DMZ区，请问专家，我需要不需要在内网和DMZ区各加一台防火墙？如果需要加，是做成背靠背好还是其他的方式？

　　A：现在防火墙1台即可通过配置端口实现DMZ和内网并设定策略，因此多数单位不需要再增加防火墙。但是很多要求较高的单位往往在DMZ和内网，甚至内网的不同网段之间继续部署不同于网关防火墙品牌的防火墙，或IDS，部署方式没那么严格，适应自身业务需求即可。

　　Q：张老师，在内网中，对于非法终端接入有什么好的解决方案？MAC绑定，终端注册接入都有缺点，我希望非法终端（windows或非windows系统）一接入网络就能报警并阻断其联入网络，可能吗？

　　A：IP、MAC、端口，三绑定，实施最节约，后期麻烦一些。并且不能阻断外部带入笔记本直接双机互连拷贝的情况。常见的802。1x方案也无决这个问题，采用某些厂家的可信域管理软件，必须在计算机安装agent，基于分布式防火墙做的，能智能判断对方是否和自己属于一个可信域，如不在一个可信域则隔离访问，能做到外面进不来（必须有客户端，且管理员验证通过，还必须在一个可信域或一个安全策略下），里面的出去也无法联网。

　　Q：张老师你好，请问现在在大中型企业流行什么加密软件或加密方式？PGP在大中型企业流行吗？为什么呢？

　　A：现在大中企业一般选用两类：1为用户主动加密；2为用户被动加密。前者表现为保存到单独的某个文件夹、邮件加密、数字证书加密；后者表现为现在常见的透明加解密。个人更倾向于后者，并且现在一些文档权限控制系统一般都有加密+分发+审计功能。我遇到的用户里面PGP用的少--虽然教科书里面常用，但是我遇到一般只是安全公司的人用的多。企业一般都购买国内的商业产品，加密类产品由于政策，国外的商业公司渗透难度较大。

　　Q：我想请教下张老师，在NAP，打印控制和U盘写下怎么做到客户端和server，switch之间的稳定。谢谢您！

　　A：和NAP相关的一些技术：AD、802。1x、动态VLAN、DNS、DHCP……，正是因为其复杂性，我遇到的一些客户就因为存在问题而未选用这样的解决方案。数据和策略的同步，往往是个问题，如同在AD下面，有时候用户需要20分钟才能登录到系统，删掉账户重建一个就OK了，这样的问题在多家用户的实际应用中都遇到过，因此一些用户选择了第三方解决方案。有时候一些问题让人恼火，正如比尔盖茨演示XP的时候死机一样……

　　Q：您好！张专家，向您请教几个问题：

　　（1）众所周知，真正最大的是来自于内网，而不是外网，那么您认为要想确保内网的相对安全应当具体从哪些方面入手

　　（2）您能向我们推荐企业比较实用的IDS以及杀毒软件

　　（3）要想确保数据只能在局域网内部使用（用U盘或其他可移动存储设备拷贝出去使用不可用）

　　除了使用防拷贝软件，在技术上有没有其他好的办法来实现，如果只能通过防拷贝软件来实现，那么选择哪一种软件比较好！谢谢！祝张专家周末愉快！

　　A：1、内网安全，管理为重。案例培训等，让员工有危机意识。这一点、军工企业做的比较好；

　　2、企业用的IDS：启明星辰、绿盟、安氏、天融信、华为（H3），杀毒推荐McAfee、Kaspersky、Symantec、TrendMicro；

　　3、介质管理（外面U盘进不来，企业U盘出不去，U盘拷贝加密）、文档加密（推荐透明加解密）、文档权限管理（在文档加密的基础上，实现文档分发的权限控制功能）。从资金投入上来说，介质管理、文档加密、文档权限管理依次增加，但是安全性更好。这个可以根据企业自身需求进行调研。

　　Q：个人理解在企业的管理层面上加强安全性，得到的实际效果比单纯的从技术角度注重安全要大，企业还是应该实现安全的管理制，希望老师能给点。

　　A：看到一本书上说过，说企业实施安全策略，如果获得了高层支持，则已经成功了一半。仅凭信息中心的几个人，即使累死，也不可能管理所有人，但是如果有总裁的一纸内部，则一切问题都不再是问题。对企业而言，安全管理大于技术实现。并且就纯技术而言，有矛，就有盾，而从管理上下手，员工都是遵从的。

　　Q：目前内网安全的产品很多，都需要客户端程序。绝大多数的产品都会出现不兼容现象，更有不成熟的内网产品装上之后，PC运行极慢，请问下，那家的客户端比较好些?

　　A：我在这里说哪一家好必然有广告的嫌疑，呵呵。我您可以参考下产品的客户群体，最好是高端用户、分布式实施的用户，测试的时候装30台机子，运行一个月看看。否则这个很容易出问题。另外实施内网安全产品，注意一定不要片面追求功能，如果大部分功能砍掉，只要自己需要的功能模块，出问题几率就小多了。

　　Q：就刚才备份的问题。个人电脑做RAID太奢侈了。另外一个个增加访问权限在用户管理里面添加用户太麻烦了，因为至少要考虑200+的用户，有没什么更加简便的方式？

　　A：从命令行键入：FOR/L%iin(1，1，500)DONETUSERMyUser%i/ADD结果将创建500个新用户，分别命名为MyUser1、MyUser2。。。，依此类推。如果不想用RAID，就在增加一台PC做备份吧。呵呵

　　Q：内网的安全，除了文件的拷贝，密码的外泄之外，会不会出现病毒之类的！？

　　A：内网莫名其妙出现病毒的情况不大，除非企业里面高人多，可以自己写，或网上下载了哪来修改。不够用木马的可能性倒是比较大……曾经有多个朋友问我，如何给同事中木马的问题……不过一律。

　　Q：我想问一下专家为了内网的安全是否安装了隔离卡就一定安全，还有就是公司一台arp服务器经常有报，但是主管安全的领导说大部分情况属于误报，请问专家是否有这种可能性。

　　A：隔离卡只能从物理上保障内外网的隔离，如果你用U盘把内网从文件拷贝到外网，还是无法实现安全性。ARP服务器？输错了？网上多数的免费ARP防火墙做的还是不错的，如果不放心可以装一个上去。

　　Q：关于网络安全！不知道防火墙对企业的重要性！我个人觉得网络安全可能大多数时候可能最重要的是管理好防火墙！对防火墙应该更好的管理！同时请专家介绍几个起到很关键性作用的网管软硬件（适用又不太贵~`_~本单位经费有限）