各个安全域之间的边界保护

    网络入侵主要是通过安全网络域的边界进入，因此针对安全网络域的入侵防卫关键是要做好各个安全域之间的边界保护。

    每个网络安全域都是一个边界，也就是说安全策略和设置（诸如管理权利、安全策略和访问控制列表）不应从一个域穿过进入另一个域，某特定域的管理员只有在该域中设置策略的权利。

    通过将各个安全区域边界的安全最小化，并关闭一切不必要的服务，从而防御和抵抗拒绝服务的攻击。如可采用“柏林墙”来过滤、屏蔽和解决因为TCP/IP协议、操作系统漏洞和软件本身的缺陷而入侵的“间谍”，使得各个区域之间“和平共处”。

    网络边界层面的安全措施包括使用ACL（访问控制列表）或防火墙等技术手段来进行安全层面的控制。特别值得一提的是，注意只开放必要的服务，而关闭其余不必要的服务，从网络边界对外部威胁进行安全隔离，保障网络内部安全。

    目前，上海烟草（集团）公司的边界设备多数情况下使用的是路由器，一小部分使用的是安全设备防火墙，也达到了很好防范效果。事实上，不管采用何种设备，关键是要制定合理的访问控制策略。