‍

在大型企业网络架构中，有非常多的产品：交换机、路由器、防火墙、IDS、IPS、服务器等设备。

比如，CDN用于提高用户访问速度；LVS实现负载均衡和高可用；Nginx服务器提供Web服务；Tomcat服务器当动态Web服务；NFS当图片服务器和Web页面；rsync和inotify实现全网备份；zabbix实现对所有主机监控；jekins等软件实现批量管理。

防火墙较多的应用在内网保护(NAT)，流控，过滤等方面;而在对攻击方面的检测和防御方面相对较弱、所以就需要IDS和IPS。

而IDS(Intrusion Detection Systems)，只是做些攻击的检测工作，本身并不做防护，它检测到攻击的时候，可能此时攻击已经产生灾难了，所以IDS一般都需要和一些防攻击设备IPS共用;

IPS(Intrusion Prevention System)，它不光对已知的攻击种类能防御，还能检测些异常协议的攻击，比较灵活。

防火墙是防御系统，属于访问控制类产品

IDS是入侵检测系统，属于审计类产品

IPS是入侵防御系统，属于访问控制类产品

IDS虽是IPS的前身，但本质上，IPS已经发生了根本的变化，前者是审计类产品，后者属于访问控制类。

有人说，IDS也可以和防火墙联动执行访问控制，但这并不会改变IDS审计类产品的本质，因为，执行访问控制的是防火墙，而不是IDS。

防火墙是基于IP地址和端口来执行访问控制的

IPS是基于入侵检测来执行访问控制的

大型企业网络架构有三层：接入层、汇聚层、核心层。

接入层接入不同的部门，不同的部门属于不同的VLAN，保证了不同部门之间的安全。

核心层有两个核心交换机，实现负载均衡和热备份，即使有一个核心交换机宕机了，网络也不会瘫痪。

1. 对内服务器有一个IDS入侵检测系统，检测对内服务器的安全。

2. 对外服务器有一个 WAF和IDS，用来检测外网用户对对外服务器的访问

3. 边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换。

在网络出口处，还有IPS入侵检测系统，实时检测是否有异常攻击行为，并及时阻断。

出口路由器由两个不同的运营商提供，提供对公网路由。

防火墙、IPS和边界路由器都有两个，实现负载均衡和热备份。即使任何一个宕机了，都不会影响企业网络的正常运作。

DMZ区

DMZ(Demilitarized Zone)非军事化区，也就是隔离区，DMZ区是一个对外服务区，在DMZ区域中存放着一些公共服务器，比如对外的服务器、对外的邮箱等等。用户要从外网访问到的服务，理论上都可以放到DMZ区。

内网可以单向访问DMZ区、外网也可以单向访问DMZ区，DMZ访问内网有限制策略，这样就实现了内外网分离。

DMZ可以理解为一个不同于外网或内网的特殊网络区域，即使黑客攻陷了DMZ区，黑客也不能访问内网区域。

办公区

办公区就是企业员工日常办公的区域，办公区安全防护水平通常不高，基本的防护手段大多为杀毒软件或主机入侵检测产品。在实际的网络环境中，攻击者在获取办公区的权限后，会利用域信任关系来扩大攻击面。

在一般情况下，攻击者很少能直接到达办公区，攻击者进入办公区的手段通常为 鱼叉攻击、水坑攻击 和其他社会工程学手段。

办公区按照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部应用监控系统、运维管理系统等。按照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。

核心区

核心区内一般存放着企业最重要的数据、文档等资产。

例如，域控、核心生产服务器等，安全设置也最为严格。根据业务的不同，相关服务器可能存放于不同的网段中。

核心区按照系统可分为业务系统、运维监控系统、安全系统等，按照网段可分为业务网段、运维监控网段、安全管理网段等。

访问限制

当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

1.内网可以访问外网

内网的用户显然需要自由地访问外网。在这一策略中，出口路由器需要进行源地址NAT转换。

2.内网可以访问DMZ

此策略是为了方便内网用户使用和管理DMZ中的服务器。

3.外网不能访问内网

很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。

4.外网可以访问DMZ

DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由出口路由器完成对外地址到服务器实际地址的转换。

5.DMZ访问内网有限制

很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。

6.DMZ不能访问外网

此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网。