从网络架构的设计上怎么去考虑网络安全的问题吗？（比如像小型公司的办公络，像路由器的布置怎么去考虑网络安全的问题）

针对小型公司办公网络架构，我会从纵深防御和零信任两个维度切入。之前帮客户设计的方案中，做了边界硬隔离：主路由器用pfSense替代家用设备，开启基于状态的包过滤，禁用WAN口UPnP，把默认ACL策略从'允许所有'改成'显式拒绝+例外开放'。比如对暴露的RDP端口，不是单纯做端口转发，而是叠加GeoIP过滤，直接封禁高危地区IP段。还做了网段微分段，路由安全基线等等
答题人：黄金