A：如果严格执行企业网络在规划阶段的安全策略，实际上防火墙的作用是相当大的，而实际上很多防火墙要么在当路由器用，要么设置的策略完全是不符合公司现有业务需求，这个很重要。网管产品，我不知道说的是上网行为管理还是网络设备管理。上网行为管理的话，国内：网康、服、网际思安、金盾……都行，这个搜索引擎搜一下很多，到时候测试下就可以了。难点在于WEB迅雷和跑80端口的封堵，这个少数设备做的比较好。网络设备管理的话，国内几大家：游龙、北塔、网强、摩卡。上网行为管理的还有几个软件的，也可以用。呵呵

　　Q：内部网络如何做日常的漏洞巡检，有没有比较好的免费工具推荐？内部网做了VLAN网络隔离，如何扫描到每个主机MAC，并对密码的强弱进行判定？

　　A：制定切实可行的安全策略，做好审计日志及相关工作，漏洞检测尽量不要做包括性的测试，以免影响业务系统。免费工具推荐Nessus和NMAP。内网做VLAN并不影响扫描到主机的MAC，前提是扫描MAC的主机应该在被允许访问的VLAN内，如服务器的VLAN、公共访问VLAN。密码强弱最好依靠策略判定，如域策略，否则如果靠扫描，大型网络里面耗费时间很多，也不可靠。

　　Q：您好，关于内网安全，一般怎么可以提升内网安全?如何实现内网安全管理和安全控制?

　　A：相比公共访问区的安全，内网安全更倾向于安全管理。内关于实现内网安全管理、安全控制，看下等级的相关文档，如《信息系统安全等级定级指南》《信息系统安全等级基本要求》《信息系统安全等级实施指南》。这几个文档是写的相当不错的，网上可以下载到。因为太全了，所以很难在几句话之内说清。

　　Q：看到大家都很踊跃提问，我本来是提不出什么问题来。重在参与。也提一个。大家问的问题五花八门，一下子弄全面、系统还真的不容易。

　　请教下专家，一个目前最好的内网安全解决方案有吗？最好具体化、细节化。

　　空洞的理论也很重要，但是企业的员工并不懂，我们也不太懂。

　　A：最好的内网安全解决方案并不存在，只有适合的才是最好的。就像每一个安全产品厂家都声称自己的方案最好、产品最好，实际上大家都知道这是商业策略。满足需求、成本合适，就是最好的。就像很多10-30人的小企业，按照等级的要求去做的话，可能公司1年的利润还不够买防火墙、IPS和审计、加密产品的，还是那句话：适合的就是最好的。理论上的东西您可以搜下，圈子里面的牛人吴鲁加写的一个PPT20080319_企业内网安全实践与思考。ppt，以事例将安全，做的很好。

　　Q：您好！公司有一些比较机密的文件放在一台文件服务器上但是经常听到有关部门的人反映文件丢失和泄漏，想问下怎么防止公司文件被员工用U盘拷贝，用邮件聊天软件发出。（但公司一些有需要的人要可以正常使用）

　　A：防止拷贝文件泄密可以用移动存储介质管理系统，也可以用终端安全管理系统（桌面管理），不但可以对U盘、移动硬盘进行允许/禁用，也可以进行授权，也可以对文件操作进行记录。防止用邮件聊天软件发出则用上网行为管理系统，可以控制，也可以记录。这个在设备做下权限分配即可。不过直接用文档加密亦可。

　　Q：这边已经在交换机上做了IP-MAC绑定，限定一个交换机端口只能连一台电脑，有高人弄个小路由联整个办公室上网，你说愁人不？咋整？

　　A：这个问题：小路由模拟成绑定的MAC就能上网了。最简单的方式：在防火墙上限定每个用户的并发连接数，这样如果几个人上就经常超过，打不开了……当然，不治本。电信一般用网络尖兵之类的软件探测，不过企业自己购买可能性不大。

　　Q：我们现在所做的上网行为管理，等等是解决不了绝对安全的，，比如可以打印出来带走，，或者是带走后，公司才能发现，，请问专家什么意见？

　　A：主机审计和系统（桌面管理、终端安全管理系统）可以做到这个。如：文件的创建、写入、拷贝、读取、删除，包括网上邻居对文件的操作；谁、什么时候、通过什么软件打印了什么文件？文件名是什么？甚至可以记录被打印文件的正文；控制各种端口，如USB、红外、蓝牙、1394。

　　Q：公司有台数据库，请问专家：是做raid好还是做集群呀，等待回复/谢谢

　　A：二者用途不一样。您的应用主要是为了安全吧？那么RAID好一些，集群主要为了应对大规模的网络而设计。

　　Q：一个关于vpn的问题：如果我在公司用win2003搭建一个vpn服务器。怎么才能让家里的电脑能连上呢。想不明白，但是我在虚拟机上不同网段的pc可以实现，但是真实的情况就……请问专家能否实现？

　　A：服务器的操作系统有公网地址没有？你在家的时候，连接不上提示什么错误？既然在虚拟机可以实现，从家里到公司也不应该有问题。没有策略吧？

　　Q：公司中一病毒，在病毒瘋狂在內網的近千臺客戶端內傳播，而殺毒軟體和補丁無法起作用，可否針對病毒的特征設置策略，該客戶端訪問內網資源。

　　A：首先确认是什么类的病毒，文件？U盘？网络？ARP类？然后制定相应的解决方案。您可以看看TrendMicro、Symantec、McAfee的安全解决方案，如果中毒或没有实施企业的安全策略（如补丁策略等）则无法访问网络资源，都是可以做到的。另外如果您仔细分析了病毒，参考下相关资料，可以发现一些通过网络的病毒可以通过防火墙或智能交换机阻断。

　　Q：A网中有大量视频头（一个视频头使用一个IP），想在不同网段的B网（可用IP较少）中查看并可控制视频头，中间路由相联，使用NAT会不会存在问题？我想到的是，能不能使用B网IP+固定端口对应A网固定IP方式。如能对性能影响不大，有上千台设备。另还有没有其它方法，让B网使用A网时，A网地址都是B网段地址？

　　A：您最后一句话我没看明白，我对您说法的理解：B网访问A网的时候用端口，并实现安全性。用NAT是没问题的，不过用路由器设置上千台设备从IP到IP+端口的访问，工作量大一点，制定一个ACL，可以做到。

　　Q：我想问一下关于windows2003PKI软件策略怎么用来提高安全性

　　A：软件策略提供了一种由策略驱动的方法，以识别软件并控制其运行能力。管理员将定义规则来控制允许软件运行的时间。这些规则包含在组策略中，这样即可在站点、域或组织单位(OU)上设置这些规则。

　　软件策略中包含用于决定软件是否应被允许运行的默认规则及默认规则的例外情况。它允许管理员定义一个用于指定是否所有软件都运行的策略。例如：某个默认选项是除指定的程序组之外所有软件都可以运行。而另一个默认选项则是除指定的程序组之外所有软件都不能运行。请参考微软网站的文章：