安危與共安全域

　　網絡安全域是指同一系統內有相同的安全保護需求、相互信任，并具有相同的安全訪問控制和邊界控制策略的子網或網絡，相同的網絡安全域共享一樣的安全策略。網絡安全域從廣義上可理解為具有相同業務要求和安全要求的IT系統要素的集合。

　　網絡安全域從大的方面一般可劃分為四個部分：本地網絡、遠程網絡、公共網絡、伙伴訪問。傳統的安全域之間需要設置防火墻以進行安全保護。本地網絡域的安全內容有：桌面管理、應用程序管理、用戶賬號管理、登錄驗證管理、文件和打印資源管理、通信通道管理以及災難恢復管理等與安全相關的內容。遠程網絡域的安全內容為：安全遠程用戶以及遠程辦公室對網絡的訪問。公共網絡域的安全內容為：安全內部用戶訪問互聯網以及互聯網用戶訪問內網服務。伙伴訪問域的安全內容為：保證企業合作伙伴對網絡的訪問安全，保證傳輸的可靠性以及數據的真實性和機密性。

　　一個大的安全域還可根據內部不同部分的不同安全需求，再劃分為很多小的區域。一般在劃分安全域之前，還應先把所有的計算機進行分組。分好組后，再把各個組放到相應的區域中去，如邊界DNS和邊界Web，都可放到邊界防護區域(即所謂的DMZ區域)中去。為了更為細粒度地對網絡進行訪問控制，在劃分安全域后，可以繼續在安全域下劃分若干子安全域，子安全域不能單獨創建，必須屬于某個安全域，子安全域之間可以互相重疊。計算機分組并劃分到不同的安全區域中后，每個區域再根據分組劃分為幾個子網。每個組的安全性要求和設置是不一樣的。區域劃分后，就可設計不同區域間的通信機制，如允許和拒絕的通信流量、通信安全要求以及技術、端口開禁等。如公網到核心網通信，必須通過VPN，并且要通過雙因子驗證(需要智能卡、口令)進行身份驗證，身份合法后再采用IP Sec進行加密通信。

　　傳統安全域的訪問管理