前面介绍了架构安全信息系统的方法论MASS，包括安全系统模型，五大安全子系统等内容。接下来我们介绍在当前IT基础设施环境下，架构安全网络结构、访问子系统、身份和信任子系统、安全审核子系统、方案整合子系统和信息流控制子系统，以及完整安全解决方案的集体案例。
    4.1.IT基础设施与网络安全
    在一个现代的，具有基本的电子商务模式的企业中，关键性应用所依赖的软件、硬件和网络被称为IT基础设施。IT基础设施通常遵循开放的标准，易于集成，不需要太多额外的开发工作就可以投入使用。典型的IT基础设施包括网络架构、基本网络服务（如DNS, DHCP）、Web服务和文件服务等。
    网络架构是IT基础设施的重要组成部分。随着业务流程对网络架构的依赖逐步加深，如何构建一个安全、可靠、灵活的网络已经不再仅仅是一个IT问题。CIO, 甚至CEO将会越来越多地关心企业中网络环境的情况。
    今天，越来越多的机构，无论它们从事何种业务，也无论它们有多大的规模，开始从Internet接入中获益。但是接入Internet同样意味着风险。在您为员工、客户和业务伙伴提供信息访问服务的同时，您也为全世界铺设了访问您机构中的隐秘信息的道路。在各大媒体上，关于黑客入侵导致泄密的报道屡见不鲜。有些时候，来自网络的攻击会导致部分或整个网络服务停止工作，并进一步影响到您的关键性应用。最近一年以来的冲击波、震荡波等病毒的大规模发作就是很典型的例子。
    4.1.1.网络安全的变革
    在传统的网络安全模式中，人们着眼于如何将入侵者阻挡在机构的网络之外。在这种模式中，经常被使用的工具有来自不同厂商，使用各种技术的路由器，防火墙，病毒过滤器等等。随着Web技术和电子商务的发展，您可能需要从前被归于“入侵者”一类的人（比如您的客户，您的合作伙伴，或是出差在外的员工）通过可控制的手段来访问您的网络中的特定的信息。他们不会像“自己人”一样从内部网络发起访问请求，他们的请求来自Internet。
    Internet的设计本身毫无安全性可言。您机构中的安全策略和安全工具完全没有办法去控制Internet上的信息流。您的路由器，防火墙和病毒过滤器等工具仍然可以在内部网络中为防御垃圾邮件，病毒和木马等等做贡献，但在防止客户、员工和业务伙伴对未授权的信息的访问方面，如果不改变它们的使用方法，它们帮不上什么忙。
    新的网络安全模式要求您首先分析自己机构的网络，并从中找出不同业务、数据和安全策略的分界线。您需要在这些分界线上构建安全防御。这些分界线通常被称为“边界网络”。
    4.1.2.构建边界网络
    构建边界网络需要用到防火墙。一个防火墙是一个软件和硬件的组合，它决定什么样的信息可以被允许通过某一个网络。防火墙通常和路由器结合使用以在不同的网络之间建立安全边界。以下我们介绍几种常见的防火墙类型。
    1).包过滤防火墙
    包过滤防火墙检查每一个通过它的网络包头，并根据包头中的信息来决定是否允许这个包的转发。包过滤防火墙的功能十分有限，因为它不会去检查应用层的信息，也不会去跟踪信息交换的状态。但功能简单的特性同时也决定了它是所有防火墙技术中性能最好的。
    在实际应用中，包过滤防火墙常常会改变包头中的地址信息从而使转发的包看起来像是来自于不同的计算机。这种改变技术叫做网络地址转换（NAT），这种方法可以用来对不信任的网络隐藏本地网络的配置信息。
    2).链路型防火墙
    链路型防火墙只转发连接请求包和已经建立的连接的包。这种防火墙跟踪每一个信息交换连接的状态，并根据预设的安全策略来决定哪些连接是被允许的。它比包过滤防火墙要复杂，也常常和NAT技术结合使用。