园区边界

通过防火墙设备，实现不同安全区域之间的划分及业务隔离、安全管控；
通过 Anti-DDoS 设备，抵御 DDoS 攻击；
通过 IPS 设备，进行入侵检测及安全态势感知；

网络地址转换（NAT）

内网用户（采用私网 IP 地址）需访问 Internet，需对其源 IP 地址进行转换，转换为公网 IP 地址；

外网用户需访问采用私网 IP 地址的服务器（例如 WEB 服务器） ⇒ 作为辅助手段，避免服务器整个暴露在公网；

核心层、汇聚层

对不同的业务进行隔离部署、互访流量管控；
按需部署网络准入控制；
部署设备本机防攻击，提高设备抗攻击能力；

接入层

建议开启广播风暴控制、DHCP Snooping、IP Source Guard、DAI 等安全功能；
建议部署 Port Isolation（端口隔离），加强用户通信安全；
部署 NAC（网络准入控制），对接入园区的用户的身份或终端进行认证，并根据结果授予网络访问权限；
部署无线空口安全及无线业务安全；