大多数企业重视提高企业网络的边界安全，但企业网络的核心内部网仍然非常脆弱。企业也对内部网络实施了相应的保护措施，如安装数万甚至数十万的网络防火墙和入侵检测软件等，希望实现内网与互联网的安全隔离，但事实并非如此！在企业中，人们经常通过调制解调器拨号、手机或无线网卡的方式私下上网，而这些机器通常放置在内部网中。这种情况的存在给企业网络带来了巨大的潜在威胁。从某种意义上说，企业花巨资打造的防火墙已经失去了意义。

这种存在的访问方式极有可能让黑客绕过防火墙，在企业不知情的情况下进入内部网络，造成敏感数据泄露、病毒传播等严重后果。事实证明，许多成功的边境安全技术并不能有效地保护内联网。于是网络维护人员开始大规模地努力提高内部网络的防御能力。

以下是应对企业内部网安全挑战的10个策略。这10个策略是内网的防御策略，也是提高大型企业网络安全的一个策略。

1、注意内网信息安全与网络系统边界进行安全的不同

企业内部网的安全威胁不同于网络边界的安全威胁。网络边界安全技术防止对 Internet 的攻击，主要防止对 HTTP 或 SMTP 等公共网络服务器的攻击。网络边界保护(如边界防火墙系统等)降低了有经验的黑客只能通过连接互联网和编写程序才能访问企业网络的可能性。内部网络安全威胁主要来自企业内部。恶意黑客攻击一般会先控制局域网内的伺服器，然后利用伺服器作为基地，对互联网上的其他主机发动恶意攻击。因此，应在边境地区实施黑客防护措施，同时建立和加强内部网络防御策略。

2、限制VPN访问

虚拟专用网(VPN)用户的接入对企业内部网的安全构成了极大的威胁。因为他们把一个被削弱的桌面操作系统置于企业防火墙的保护之外。显然，VPN 用户可以访问企业内部网。因此，避免让每个 VPN 用户完全访问内部网。这允许您使用登录控制权限列表来限制 VPN 用户的登录权限级别，方法是仅向他们提供所需的访问级别，如对邮件服务器或其他可选网络资源的访问。

3、为合作企业网络建立内部网边界保护

合作企业网也是社会造成内网安全管理问题的一大重要原因。例如国家安全系统管理员虽然我们知道自己怎样可以利用学生实际应用技术来完固防火墙，保护MS-SQL，但是Slammer蠕虫仍能侵入内网，这就是因为中国企业给了他们的合作学习伙伴进入内部人力资源的访问权限。由此，既然不能有效控制合作者的网络环境安全教育策略和活动，那么就应该为每一个合作发展企业通过创建一个DMZ，并将他们所需要访问的资源放置在相应的DMZ中，不允许他们对内网其他教学资源的访问。

4、自动跟踪的安全策略

自动进行实时跟踪的智能安全策略是有效实施网络安全实践的关键。它带来了业务活动的革命，远远超过了人工安全策略的有效性。商业活动的现状要求企业使用自动检测方法来检测商业活动的变化，因此，必须对安全策略进行调整。例如，文件服务器可以实时跟踪雇员的招聘和解雇情况，实时跟踪网络使用情况，并记录与计算机的对话。总之，确保每天的所有活动都遵循安全策略。

5、关闭无用的网络服务器

大型企业网络可能一次支持四台或五台服务器发送电子邮件，一些企业网络可能有数十台其他服务器监视 SMTP 端口。这些主机可能对邮件服务器有潜在的攻击点。所以一个一个中断网络服务器进行检查。如果程序(或程序中的逻辑单元)作为窗口文件服务器运行，但不作为文件服务器运行，请关闭文件共享协议。

6、首先进行保护重要信息资源

如果有数千万台(比如说3万台)机器连接到一个内部网，那么期望保持每台主机都是锁定和打补丁的是不现实的。一般而言，大型企业网络的安全性具有最佳化问题。这样，首先对服务器进行效益分析和评估，然后对每个网络服务器的内部网络进行检查、分类、维修和加强工作。确保识别重要的 Web 服务器(例如那些实时跟踪客户端的服务器)并管理它们的局限性。这样就能够快速准确地确定企业最重要的资产，并做好内部网的定位和访问限制。

7、建立可靠的无线接入。

复习网络建立无线接入的基础。消除无意义的无线接入点，确保无线网络接入是强制性和可用的，并提供安全的无线接入接口。将接入点置于边界防火墙之外，并允许用户通过 VPN 技术进行访问。

8、建立安全的乘客访问。

对于一个过客不必给予其公开数据访问内网的权限。许多国家安全管理技术研究人员进行执行的“内部无Internet访问”的策略，使得公司员工给客户提供一些具有非法的访问权限，导致了内网实时跟踪的困难。因此，须在边界防火墙之外我们建立过客访问中国网络块。

9、创建虚拟边境警卫

主机是攻击的主要目标。与其试图阻止所有主机被攻击(这是不可能的)，不如在如何阻止攻击者通过被攻击的主机攻击内网上下功夫。因此，必须解决企业网络的使用和企业业务范围内虚拟边界保护的建立问题。这样，如果市场用户的客户端被黑客攻击，攻击者就不会进入公司的R&D。因此，需要控制公司R&D和市场之间的访问权限。每个人都知道如何在互联网和内部网之间建立防火墙保护。现在，我们还应该意识到如何在互联网上的不同商业用户之间建立防火墙保护。

10、 做出可靠的安全决策

网络用户也存在安全风险。一些用户可能缺乏网络安全知识，例如，他们不知道RADIUS和TACACS的区别，或者代理网关和包过滤防火墙的区别等。，但作为公司的合作伙伴，他们也是网络的使用者。因此，企业网络应该使这些用户易于使用，从而引导他们自动响应网络安全策略。

另外，在技术上，采用网络安全交换机、重要信息数据的备份、使用代理网关、确保学生操作进行系统的安全、使用主机防护系统和入侵检测控制系统设计等等这些措施也不可缺少。