逻辑安全控制

　　逻辑安全控制负责在不同网段之间构造逻辑边界。它同时还对不同网段间信息流的流动进行控制。逻辑访问控制通过对网段间的信息流进行逻辑过滤来提供安全性保障。尽管信息流过滤可以提供一定的安全性保障，但事实上由于容易进行IP欺骗，因此过滤方法应该与其他安全措施结合使用。

　　由于逻辑边界不如物理边界那么安全，故必须完全理解数据从一点传输到另一点的详细路径。尽管在不同子网间通常存在逻辑边界，但路由策略和虚拟局域网(VLAN)尝尝会使逻辑信息流变得混乱。检测网络上非授权通信的惟一方法是采用报文分组分析仪或入侵检测系统。在关键的网络访问上按照入侵检测系统比较慎重的做法。

　　由于网络信息流被限制在单个的子网区域内，因此有时会误以为处于不同子网上的信息流是安全的。其想法是不同地址组之间存在的逻辑划分构成了不同的网络访问域。可以根据子网地址来设置过滤以允许或拒绝信息流。根据网络如何使用子网进行逻辑划分，以及这些子网之间的信息流如何进行控制，就可以大致确定网络的逻辑基础设施，路由选择(也称为三层交换)是指如何控制子网之间的信息流。路由选择信息在何处分发以及在何处接收是路由选择问题的关键，它很大程度上决定了如何获取不同网络上数据的访问权。此外，VLAN也能够修改传统的物理边界。

　　对设备号网段的访问必须明确限制到需要访问的个人，这需要执行两类的控制：预防性控制和探测性控制。对网络设备使用权限的管理所提供的策略直接取决于网络规模和需要维护网络的管理员人数。可以对网络基础设施设备进行本地认证，但这或许不可扩展。网络管理工具的使用在大型网络中是有帮助的：如果对每个设备进行本地认证，那么该策略通常会包括无法提升设备安全性的单一登录。在这些情况下，可以考虑使用访问控制服务器。它允许集中式的管理员数据库，而且能够在一个位置增加或删除管理员。访问的类型也是需要着重考虑的。通常应慎重考虑对网络基础设施设备使用不同的管理等级，以使特定的命令的权限级别，并且这些权限级别是为单个用户登录所定义的。应当遵从正确的技术方案，且不应废止。必须尽量在用户实际使用的认证方法和给定系统充分提供安全的方法之间取得平衡。