如何做网络防御？

关于网络安全防御，应该从全方位进行防御，尤如木桶效应，任何一块短板都会导致网络安全的防御失效，下面谈谈个人关于网络安全防御在技术层面的的浅见，有不妥之处请指教，并期望补充：

第一部分是网络边界安全防御： 1.1 网络的接入外网边界，这是大家最常见也是最先防御的环节，比较常见的代表设备或系统如边界防火墙、防毒墙、入侵防御系统等，主要是防御来自外部的入侵、渗透或攻击等。

1.2 网络的有线内网边界，也就是有线网络的用户接入端，对于用户的有线接入设备进行管控和授权，比较常见的代表设备或系统如准入控制系统、身份认证系统、终端管理系统等。主要防御针对从内部有线接入设备的管控。

1.3 网络的无线内网边界，也就是WiFi无线网络的用户接入端，对于用户的无线接入设备进行管控和授权，比较常见的代表设备或系统如无线身份认证系统及准入控制系统、终端管理系统以及无线入侵防御系统等。主要防御针对从内部无线接入设备的管控，以及周界非法无线设备和终端的入侵。

第二部分是网络内部安全防御：

2.1 网络内部各子网之间，或者两个物理内网之间的安全隔离或防御，比较常见的代表设备或系统如内部防火墙，网闸，核心交换机上的ACL，VLAN及路由控制策略等。主要从内部网络相互访问、传输以及管控等方面进行防御。

2.2 网络行为及流量控制，实现对上网的行为应用以及流量特征进行管控，比较常见的代表设备或系统如上网行为管理系统，流量控制系统，以及负载均衡设备等。主要从行为管理，应用操作，流量带宽等方面进行防御。

第三部分是网络数据安全防御：

3.1 互联网远端接入内网，可以通过VPN/GRE隧道、点到点专线等方式接入，比较常见的代表设备或系统就要以MPLS / IPSEC / SSL /L2TP VPN和GRE隧道等方式为代表。主要从数据传输安全方面进行防御。

3.2 数据的有线传输加密，一是在有线传输通道进行加密，二是在两端进行加密。主要针对有线网络传输过程中针对隧道或数据的加密，实现数据的有线传输通道安全防御和数据本身的安全防御。

3.3 数据的无线传输加密，一是在无线传输通道进行加密，二是在两端进行加密。主要针对无线网络传输过程中针对隧道或数据的加密，实现数据的无线传输通道安全防御和数据本身的安全防御。