网络安全域是具有相同安全边界的网络分区，是由路由、交换机ACL（访问控制列表）、防火墙等封闭起来的一个逻辑上的区域，可以跨地域存在，这个区域内所有主机具有相同的安全等级，内部网络自由可达。

安全域之间访问需要编写对应的访问规则，如果有两个安全域，只需要编写 网络A 到 网络B,网络B 到网络A 的两套规则集。

如果有三个安全域，需要编写 网络 A ->B, A->C, B->A, B->C, C->A, C->B 总共有六套规则集。

如果是 n 安全域，则需要编写 n*(n-1) 套规则集。

所以不要建立太多的安全域，需要的人力成本有点大，而且也不好维护。

外 -> 内

生产网络分成普通区和敏感区，普通区和敏感区之间搭建防火墙，配置对应的规则。

互联网和内部员工访问业务服务器都需要通过统一接入网关进行身份认证，只是互联网连接的是外部接入网关，员工接入的是内部接入网关。

抗 DDOS 系统

• 网络带宽资源耗尽型（利用第三方服务的反射放大攻击、利用协议缺陷的异常包等），相当于通往目的地的通路被堵住，就算目标服务还能正常提供服务，但正常的用户访问不到。在这种情况下，正常用户的访问请求根本就到不了服务器。
• 主机计算资源耗尽型（典型的是CC攻击），是指流量已到达目标服务器，并且把目标服务器的资源（CPU、内存等）给占满，使得服务器无法处理正常用户的访问请求。

目标就是让正常用户访问不了。

启用负载均衡或CDN加以分流，将请求分散到多个入口。

构建自己的防护数据库，镜像流量到检测集群中，更新策略到策略中心中，原始流量进入防护集群中和策略进行比对，如果是正常流量，就可以访问业务，如果是异常流量就进行丢弃操作。

初始的防护数据库内容可以参考如下：

• 应用端口登记，这样访问未登记的端口可以视为消耗带宽的无效请求，可以直接抛弃。
• 物联网设备IP，如智能摄像头、家用智能路由器等，如果业务并未向这些设备提供服务，可以直接抛弃。

内 -> 内

用户认证：如果是无线，需要加上 WebAuth 认证方式，再使用 SSO 进行身份认证，访问使用临时随机口令。

设备认证：校验是否是公司配置的设备，可以简单的记录设备的 MAC 地址，分配的 IP 地址。只要是登记过的设备，并且 MAC 地址一致，就可以进行访问。对于比较严格的环境，需要配置对应的数字证书，校验证书通过才能访问。

企业的网络安全域，一般都会将办公网络和生产网络分开，如果要登录到生产网络的服务器执行运维，则需要通过跳板机或运维平台来中转。这样就可以在内部防火墙设备上，拒绝所有办公网络对生产网络的直接运维通道，而仅开通办公网络到跳板机或运维平台的策略。

跳板机的安全域和生产网络在一个区域。

网络准入控制 NAC

终端设备请求接入对应的公司网络，需要先进入网络接入策略中心的策略检查，如果达到可访问的标准，才能通过访问企业网络，否则进入修复区。

策略检查可以参考如下所示：

网络准入控制（NAC）的目标就是在网络层控制用户和设备接入，确保只有符合安全政策的设备在员工身份认证通过的情况下才能接入网络。

内 -> 外

如果内部生产环境需要访问互联网，则可以通过统一代理的方式进行访问。