1、精简精准的访问控制

智能网关网络访问控制需实现的具体内容应遵循国家标准安全技术要求，需要指出的是，相关防护手段应该是精准、精简、瘦身地，因为前端设备是布局分散的边缘物联网终端，我们不可能为其附加笨重、复杂的防护手段，而应该综合考虑功能性与便捷性，化繁为简，实现小而美的精准访问控制。

2、分布式边缘防护手段

对于天生物理位置分散的智慧灯杆前端设备，分布式的边缘防护手段明显更合适。一方面更贴近被保护设备，另一方面更具针对性，能够实现精准防护。传统的集中式防护手段（往往就是在灯杆通信系统的接入层或汇聚层部署安全设备），存在几个弊端：

安全设备性能需弹性增长

前端设备跨网段，安全设备策略配置复杂

远距离安全防护，效果难保障

前端设备之间会存在交叉感染风险

因此，对智慧灯杆前端设备的安全防护更需要的是分布式的方式，即贴身地、一对一地安全防护。

3、独立的软硬件环境

传统的“寄生式”防护手段，如第三方厂家的杀毒或准入软件等，大多以纯软件的形式安装部署在网关操作系统中。其最大的问题是与网关的软硬件环境捆绑过于紧密，一方面会占用网关的硬件性能资源；另一方面，一旦有病毒等恶意代码程序绕过防护手段，感染了网关，有可能通过反杀寄生在网关上的防护程序，从而取得网关的控制权，进而发动内部网络攻击。

因此，为安全模块提供独立的软硬件环境至关重要。不论它是以外置防护设备的形态出现，还是以嵌入式安全芯的形态出现，都应为其配置独立的计算环境，做到与智能网关互不干扰，网关发生变化（软件更新、配置更新、被攻陷等）时，安全模块不受影响。

4.无IP网络隐身部署模式

对于智慧灯杆这类边缘物联网终端，安全模块往往是直接部署在业务网络上的，即串接在生产系统业务网络的网线上，如果给每个安全模块分配一个业务网络IP地址，不仅会占用大量网络资源，还需改变现有的网络结构。采用无IP部署模式，节约网络资源，降低部署难度，同时安全模块没有IP即实现了网络隐身，可免疫扫描攻击，进一步提高了安全防护等级。

5.集中式的统一管控平台

统一管控平台部署在机房控制中心，一方面覆盖全网分布式边缘防护设备（外置或安全芯），实现全面管控与分析；另一方面与机房中智慧灯杆运维管理平台实现联动，综合处理各类数据。统一管控平台起着两个作用：向下，能够下发访问控制策略，统一管理所有分布式防护设备；向上，能够收集相关网络行为日志，进行分析、处理、展现等。统一管控平台与分布式防护设备组成了一个整体，实现了对前端设备的全面安全防护。