路由器安全策略

1 网络安全域的划分

DCN网络是一个综合复杂的信息系统，单独针对每一个设备确定保护方法，无论从规划和实施上都是一件非常庞大繁杂的工作，而且实施起来很难保证质量和排查隐患。

因此，根据各套系统的组成、使用主体、安全目标等，可以将DCN系统划分为几个不同区域，将具有相近安全属性的部分归于一个安全域中，如有需要，还可以在此基础上细化成多个子域。具体可以分为如下几个区域

核心域:包括各业务系统的主机、服务器、数据库等

用户域:通过各种方式接入系统的终端和用户

网络域:包括路由器、交换机等网络设备组成的网络拓扑

公共外部接口区:包括与银行系统的接口、因特网的接口等

公共安全服务区:包括病毒监控、用户认证、安全管理等

2 具体的解决方案

网络安全域划分以后，可以根据各个区域的安全需求分别加以部署。

2.1 核心域安全设计

核心域按照业务需求划分为计费系统、客服系统、网管系统等多个MPLS VPN，在地市节点再按业务分类与不同的网络设备相连 。这样可以很好地满足各节点和业务的互访隔离需求。由于在网络域通过划分MPLS VPN隔离了不同的业务，对于业务主机之间的互访，可通过在与核心域相连的PE设备外挂防火墙作为CE设备，在防火墙上设置互访策略即可做到有限制的跨业务访问。

2.2 用户域安全设计

用户域包含了各种接入终端，其安全性主要通过制定完善的安全制度规范来加以保障，主要形式包括加强认证，限制操作权限等。加强认证可以通过部署身份认证服务器，在用户登陆网络时根据用户名密码决定用户权限。授权则本着权限最小化原则分配给用户。

2.3 网络域安全设计

网络域的各种网络设备是整个网络的硬件平台，承载着主要的信息交换任务，其自身的健壮性必须得到保证，网络中重要的核心设备和链路应该具有冗余备份。在网络域中根据业务分类划分MPLS VPN,将不同的业务系统隔离开来，保证某个业务终端用户只能访问相应的业务系统。

2.4 公共外部接口区设计

公共外部接口区，将内部网络的出口与互联网出口进行统一管理，用统一的安全策略进行部署，同时也避免了各业务单独部署的高成本。

另外在公共外部接口区单独设立DMZ区域。有一些业务，内网外网都需要访问，将这些业务服务器放置在DCN内部，就容易成为外部访问内部的中转站;如果放在DCN外部，那直接暴露在因特网上的服务器的安全性又得不到保障。所以设置DMZ这个缓冲区，单独放置Web服务器这类设备，并加配防火墙来保证服务器和DCN网络的安全。

2.5 公共安全服务区

公共安全服务区是为整个DCN网络提供统一安全服务的区域，统一部署防病毒、漏洞扫描、终端管理、网管系统等。实现整个网络的集中管理，统一服务。

选择高质量、好品牌

据介绍，一般的浴霸取暖灯泡都是红外线石英辐射灯，这种取暖方式升温快，对身体无损害。瞬间可升温到25℃左右，一般浴霸分为2个灯泡和4个灯泡的，购买时应根据自己的浴室空间大小。如果在5平方米以下一般2个灯泡的浴霸足够使用，而稍大一些的浴室可以选择4个灯泡的浴霸。目前取暖灯泡一般都为防水防爆型的，部分取暖灯泡外有防护网。

浴霸产品一般集照明、取暖、排风三种功能于一体，安装后，整个浴室往往就会节约出很多空间。一般来说，浴霸的外表色调、尺寸、样式应该与浴室的装修风格一致，这样才能协调。此外，由于浴霸属于与人们接触较多较近的电器，一旦质量不过关，发生漏电触电会直接造成伤害，因此应该尽可能选择大品牌的产品，一般都可以提供三年免费保修。

两种灯泡勿同时使用

浴霸开启时四个取暖灯泡和照明的灯泡同时使用，这样不但费电而且还不安全，四个取暖灯泡的功率最高可达1100W，长时间使用，可能会容易造成一些老宅的线路跳闸。同时在浴霸下的站立时间不宜过长，一般不应该超过半小时，否则容易被强光辐射所伤。

由于取暖灯泡的亮度已经足够高，因此很多厂家在出厂时已经设计了当取暖灯泡开启时自动切断照明灯泡，但有些早期型号还不具备此功能，为了避免浪费浴霸，用户不应该同时开启照明。而且很多用户喜欢在浴室中看书，如果使用高亮度的取暖灯光作为照明，很容易对眼睛造成伤害。

安装不宜过低

浴霸在安装之时，尽量选择在头顶安装，而不是像某些宾馆中的在身体侧面。最好不要距离头顶过低，理论上应该在40厘米的距离之上，这样才能保证既取暖又不会灼伤皮肤。

此外，浴霸在工作时不要用水喷淋。尽管现在的浴霸都是防水的耐高温灯泡组成，但其旁边缝隙中的电机往往是很怕接触水的，电机中的金属导电性能很强，接触到较多水易引发电源短路，造成危险。另外浴霸的取暖灯泡在开启后度数可以达到165度，绝对不要用手去触摸，否则很容易烫伤，也要尽量避免婴儿近距离接触。