一個無線覆蓋網絡的安全系統主要靠防火墻和網絡防病毒系統等技術，在網絡層構建一道安全屏障，并通過把不同的無線覆蓋產品集成一個安全管理平臺上，實現網絡層的統一的安全管理。下面我們看看如何三步構建網絡架構。

1、網絡層安全平臺

挑選網絡層安全渠道時首要考慮這個安全平臺能否與其他有關的網絡安全產品集成，能否對這些安全產品進行一致的管理，包含配置各有關安全產品的安全策略、保護有關安全產品的系統配置、檢查并調整有關安全產品的系統狀況等。

一個完善的網絡安全平臺至少需要部署以下產品：

防火墻：網絡的安全核心，提供邊界安全防護和訪問權限控制；

網絡防病毒系統：杜絕病毒傳播，提供全網同步的病毒更新和策略設置，提供全網殺毒。

2、安全網絡拓撲結構劃分

防火墻主要是防備不相同網段之間的進攻和不合法訪問。因為攻擊的目標主要是各類計算機，所以要科學地區分計算機的類別來細化安全設計。在整個內網中，依據使用用途可以將計算機區分為三類：內部運用的工作站與終端、對外提供服務的應用服務器，以及重要數據服務器。這三類在計算機的作用不一樣，重要程度也不一樣，安全需求也不一樣：

第一，重點保護各種應用服務器，特別是要確保數據庫服務的代理服務器的絕對安全，不能允許用戶直接訪問。對應用服務器，則要確保用戶的訪問是被我們所控制的，要可以約束訪問該服務器的用戶，使其只能經過指定的方法進行訪問。

第二，數據服務器的安全性要大于對外供給的多種服務的WWW服務器、E-mail服務器等應用服務器。所以數據庫服務器在防火墻定義的規則上要嚴于其他服務器。

第三，內部網絡有可能會對各種服務器和應用系統的直接的網絡攻擊，所以內部辦公網絡也需要和代理服務器、對外服務器（WWW、E-mail）等隔離開。

第四，不能允許外網用戶直接訪問內部網絡。

上述安全需求，必須要經過區分出安全的網絡拓撲結構，并經過VLAN劃分、安全路由器配置和防火墻網關的配置來控制不同網段之間的拜訪。區分網絡拓撲構造時，一方面要確保網絡的安全，另一方面不能對原有網絡構造做太大的更改，為此主張選用以防火墻為中心的支持非軍事化區的三網段安全網絡拓撲結構。

根據這種應用模式，使用非軍事化區結構的網絡拓撲是一種很自然的提高安全性的措施。如右圖所示，在防火墻上安裝三塊網卡，分別連接三個不同網段：外網、內網和DMZ。安全設置如下：

3、三網段安全網絡拓撲結構

1. 內網用戶可以被授權訪問外網和DMZ中的服務器；

2. 外網用戶只能夠訪問到DMZ中的相關服務器，不能訪問內網；

3. DMZ還放置各種應用服務器，應用模式中，對應的是各種Web服務器。這些服務器允許有控制地被各種用戶訪問，也能主動訪問Internet。建議不允許DMZ服務器主動訪問內網主機；

4. 在內網某臺服務器上安裝網絡版防病毒軟件的系統中心，定制全網殺毒策略并監控網絡病毒情況；

5. 通過網絡版防病毒軟件的漏洞檢測功能可以及時發現內網機器存在的漏洞，及時查堵防患未然。

總結：構建安全的企業無線覆蓋網絡架構就少不了網絡防火墻。然而網絡防火墻又涉及到網絡安全的核心，所以想要架構一個安全、快捷的企業無線覆蓋首先就要完成防火墻的架構。