网络实现了不同系统的互联互通。然而，在现实环境中往往需要根据不同的安全需求对系统进行切割、对网络进行划分，形成不同系统的网络边界或不同等级保护对象的边界。

       按照“一个中心，三重防御”的纵深防御思想，网络边界防护构成了安全防御的第二道防线。

       在不同的网络之间实现互联互通的同时，在网络边界采取必要的授权接入、访问控制、人侵防范等措施实现对内部的保护，是安全防御的必要手段。

       安全区域边界针对网络边界提出了安全控制要求，主要对象为系统边界和区域边界等，涉及的安全控制点包括边界防护、访问控制、人侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

     1、边界防护

       边界防护主要从三个方面考虑。首先，应考虑网络边界设备端口、链路的可靠性，通过有效的技术措施保障边界设备物理端口可信，防止非授权的网络链路接人。其次，应通过有效的技术措施对外部设备的网络接人行为及内部设备的网络外连行为进行管控，减少外部威胁的引人。最后，应对无线网络的使用进行管控，防止因无线网络的滥用而引人安全威胁。

      2、访问控制

       访问控制技术是指通过技术措施防止对网络资源进行未授权的访问，从而使计算机系统在合法的范围内使用。在基础网络层面，访问控制主要是通过在网络边界及各网络区域间部署访问控制设备（例如网闸、防火墙等）实现的。

       在访问控制设备中:应启用有效的访问控制策略，并采用白名单机制，仅授权用户能够访问网络资源;应根据业务访问的需要，对源地址、目的地址、源端口、目的端口和协议等进行管控;应能够根据业务会话的状态信息，为进出网络的数据流提供明确的允许/拒绝访问的能力;应能够对进出网络的数据流所包含的内容及协议进行管控。

      3、入侵防范

       随着网络人侵事件数量的增加和黑客攻击水平的提高:

       一方面，企业网络感染病毒、遭受攻击的速度加快，新技术不断涌现，等级保护对象与外部网络的互联具有连接形式多样性、终端分布不均匀性，以及网络的开放性、互联性等特征，使网络较之从前更易遭受恶意入侵和攻击，网络信息安全受到威胁;

       另一方面，网络遭受攻击后做出响应的时间越来越长。因此，要维护系统安全，必须进行主动监视，以检查网络是否发生了人侵和遭受了攻击。基于网络的入侵检测，被认为是网络访问控制之后网络安全的第二道安全闸门。

       入侵检测系统主要监视所在网段内的各种数据包，对每个数据包或可疑数据包进行分析。如果数据包与内置的规则吻合，入侵检测系统就会记录事件的各种信息并发出警报。

       人侵防范需要从外部网络发起的攻击、内部网络发起的攻击、对新型攻击的防范、检测到入侵和攻击时及时告警四个方面综合考虑，以抵御各种来源、各种形式的入侵行为。

     4、恶意代码和垃圾邮件防范

       恶意代码是指怀有恶意目的的可执行程序。计算机病毒、木马和蠕虫的泛滥使防范恶意代码的破坏显得尤为重要，恶意代码的传播方式正在迅速演化。目前，恶意代码主要通过网页、电子邮件等网络载体传播，恶意代码防范的形势越来越严峻。另外，随着电子邮件的广泛使用，垃圾邮件也成为备受关注的安全问题。

       垃圾邮件是指电子邮件使用者事先未提出要求或同意接收的电子邮件。垃圾邮件既可能造成邮件服务不可用，也可能用于传播恶意代码、进行网络诈骗、散布非法信息等，严重影响业务的正常运行。因此，需要采取技术手段对恶意代码和垃圾邮件进行重点防范。

      5、安全审计

       如果仅将安全审计理解为日志记录功能，那么目前大多数的操作系统、网络设备都有不同粒度的日志功能。但实际上，仅靠这些日志，既不能保障系统的安全，也无法满足事后的追踪取证需要。安全审计并非日志功能的简单改进，也不等同于入侵检测。

       网络安全审计的重点包括对网络流量的监测、对异常流量的识别和报警、对网络设备运行情况的监测等。通过对以上方面的日志记录进行分析，可以形成报表，并在--定情况下采取报警、阻断等操作。同时，对安全审计记录的管理也是其中的一-个方面。由于不同的网络产品产生的安全事件记录格式不统一，难以进行综合分析，因此，集中审计成为网络安全审计发展的必然趋势。

      6、可信验证

        这里的设备对象是指用于实现边界防护的设备，可能包括网闸、防火墙、交换机、路由器等。