設計網絡安全策略

網絡安全策略主要包括訪問控制策略、流量檢測策略、安全審計策略、遠程接人策略和冗余策略五個方面，根據信息系統業務特點和安全目標，正確使用和配置這些安全策略是網絡安全規劃的關鍵工作。

1)訪問控制策略

不同安全級別的網絡相連，產生了網絡邊界。防止來自網絡外界的入侵就要在網絡邊界上建立可靠的安全訪問控制措施。

網絡邊界安全訪問策略為：允許高安全級別的安全域訪問低級別的安全域，限制低級別的安全域訪問高級別的安全域，在不同安全域內部分區進行安全防護。規劃部署網絡安全訪問控制設備，要求設計設備的具體部署位置和控制措施，維護安全區域內部的安全管理策略。常見措施包括設計VLAN、劃分網段、部署防火墻、IP地址與MAC地址綁定等。

其中，虛擬局域網( Virtual Local Area Network，VLAN)是一種劃分互相隔離子網的技術。通過VLAN隔離技術，可以把一個網絡系統中眾多的網絡設備邏輯地分成若干個虛擬工作組，組和組之間的網絡設備在第二層網絡上相互隔離，形成不同的安全區域，同時將廣播流量限制在不同的廣播域。防火墻是進行網絡區域邏輯隔離的一種常用系統，它可在不同安全等級的網絡區域之間建立起一個安全網關，對兩個網絡之間的通信進行控制，從而保護網絡免受非法用戶的侵入。

根據用戶安全要求，在網絡安全域的邊界部署不同的安全設備，配置不同的安全策略， 可以構成不同級別的邊界防護機制，下面給出一些常見的配置模式供參考。

◇簡單安全防護。采用簡單的邊界防護機制，如基本的登錄、連接和訪問控制機制，

實現信息系統邊界安全防護，可以通過在路由器或者交換機上劃分網段、設置VLAN來實現。

◇較嚴格安全防護。采用較嚴格的安全防護機制，如較嚴格的登錄、連接和訪問控制機制，可在網段劃分、虛擬局域網劃分的基礎上，通過部署防火墻、網關等來實現。

◇嚴格安全防護。采用嚴格的安全防護機制，如嚴格的登錄、連接和訪問控制機制，

可通過部署安全性較高的防火墻、入侵防御、信息過濾和網閘等設備，并結合縱深網絡區域設置策略、嚴格訪問控制許可策略來進行保護。

◇特別安全防護。采用當前最先進的邊界防護技術，必要時可以采用物理隔離安全機制，滿足高安全要求的邊界安全防護。