#干活满满# 安全隔离策略

        从实际经验来看，网络层的访问控制被证明是最有效的（攻击者很难绕过去），不要相信应用层控制。网络层访问控制属于基础架构安全，这是最有效最重要的，整个安全防护的基础。

        访问控制策略原则：明细允许，默认拒绝。

        1、从内网去互联网的访问控制

        办公终端：除个别协议无法限制目的IP外，其余协议全部限制。特殊访问需求，快速开通。有条件的考虑：终端不能直接访问互联网，需要访问互联网的两种解决方案：另外分配一台上网终端、虚拟浏览器

        办公服务器：特殊访问需求开通，默认拒绝

        生产环境：生产环境终端禁止上互联网、服务器特殊访问需求开通，默认拒绝

        2、 互联网访问内网

        对互联网提供服务的服务器必须在 DMZ，同时和内网进行隔离。

        3、重要系统的访问控制策略

        关键基础设施如 AD、邮件系统的访问控制，最简单最可靠的方式是 ACL 访问控制，这是对抗应用和系统漏洞的最低成本和最有效措施。各种漏洞层出不穷，唯有ACL访问控制药效持久，强烈推荐。

        终端安全管控、自动化运维系统等集中控制系统后台登录限制访问来源。（优先使用网络访问控制、其次使用系统层限制、搭配使用应用层限制）

有助于学习！！！！！！！！！！！！