您好!欢迎光临云杰通信官网,本公司专业提供跨境企业网络加速优化、企业MPLS-VPN、SD-WAN等跨境网络技术服务。
服务热线:13631779516

企业网络优化专家

国际网络互联综合解决方案

常见问题 NEWS

云杰通信助您了解行业,全方位掌握国际互联网最新资讯

您当前的位置:首页 > 资讯中心 > 常见问题

大型企业公司网络架构是怎样的?

2020-06-02 17:29:05云杰小编阅读:88

企业组网,MPLS,SD-WAN,VPN专线

在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。

比如,CDN用于提高用户访问速度;LVS实现负载均衡和高可用;Nginx服务器提供Web服务;Tomcat服务器当动态Web服务;NFS当图片服务器和Web页面;rsync和inotify实现全网备份;zabbix实现对所有主机监控;jekins等软件实现批量管理。

防火墙较多的应用在内网保护(NAT),流控,过滤等方面;而在对攻击方面的检测和防御方面相对较弱、所以就需要IDS和IPS。

而IDS(Intrusion Detection Systems),只是做些攻击的检测工作,本身并不做防护,它检测到攻击的时候,可能此时攻击已经产生灾难了,所以IDS一般都需要和一些防攻击设备IPS共用;

IPS(Intrusion Prevention System),它不光对已知的攻击种类能防御,还能检测些异常协议的攻击,比较灵活。

防火墙是防御系统,属于访问控制类产品

IDS是入侵检测系统,属于审计类产品

IPS是入侵防御系统,属于访问控制类产品

IDS虽是IPS的前身,但本质上,IPS已经发生了根本的变化,前者是审计类产品,后者属于访问控制类。

有人说,IDS也可以和防火墙联动执行访问控制,但这并不会改变IDS审计类产品的本质,因为,执行访问控制的是防火墙,而不是IDS。

防火墙是基于IP地址和端口来执行访问控制的

IPS是基于入侵检测来执行访问控制的

大型企业网络架构有三层:接入层、汇聚层、核心层。

接入层接入不同的部门,不同的部门属于不同的VLAN,保证了不同部门之间的安全。

核心层有两个核心交换机,实现负载均衡和热备份,即使有一个核心交换机宕机了,网络也不会瘫痪。

  1. 对内服务器有一个IDS入侵检测系统,检测对内服务器的安全。

  2. 对外服务器有一个 WAF和IDS,用来检测外网用户对对外服务器的访问

  3. 边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换。

在网络出口处,还有IPS入侵检测系统,实时检测是否有异常攻击行为,并及时阻断。

出口路由器由两个不同的运营商提供,提供对公网路由。

防火墙、IPS和边界路由器都有两个,实现负载均衡和热备份。即使任何一个宕机了,都不会影响企业网络的正常运作。

DMZ区

DMZ(Demilitarized Zone)非军事化区,也就是隔离区,DMZ区是一个对外服务区,在DMZ区域中存放着一些公共服务器,比如对外的服务器、对外的邮箱等等。用户要从外网访问到的服务,理论上都可以放到DMZ区。

内网可以单向访问DMZ区、外网也可以单向访问DMZ区,DMZ访问内网有限制策略,这样就实现了内外网分离。

DMZ可以理解为一个不同于外网或内网的特殊网络区域,即使黑客攻陷了DMZ区,黑客也不能访问内网区域。

办公区

办公区就是企业员工日常办公的区域,办公区安全防护水平通常不高,基本的防护手段大多为杀毒软件或主机入侵检测产品。在实际的网络环境中,攻击者在获取办公区的权限后,会利用域信任关系来扩大攻击面。

在一般情况下,攻击者很少能直接到达办公区,攻击者进入办公区的手段通常为 鱼叉攻击、水坑攻击 和其他社会工程学手段。

办公区按照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部应用监控系统、运维管理系统等。按照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。

核心区

核心区内一般存放着企业最重要的数据、文档等资产。

例如,域控、核心生产服务器等,安全设置也最为严格。根据业务的不同,相关服务器可能存放于不同的网段中。

核心区按照系统可分为业务系统、运维监控系统、安全系统等,按照网段可分为业务网段、运维监控网段、安全管理网段等。

访问限制

当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

1.内网可以访问外网

内网的用户显然需要自由地访问外网。在这一策略中,出口路由器需要进行源地址NAT转换。

2.内网可以访问DMZ

此策略是为了方便内网用户使用和管理DMZ中的服务器。

3.外网不能访问内网

很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。

4.外网可以访问DMZ

DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由出口路由器完成对外地址到服务器实际地址的转换。

5.DMZ访问内网有限制

很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。

6.DMZ不能访问外网

此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网。

文章标题:《大型企业公司网络架构是怎样的?》

作  者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-115-2269-0.html

主要业务
企业专线网络MPLS-VPNSD-WAN云专线
行业解决方案
跨境电商智能制造业互联网医疗国际教育
关于我们
公司简介服务支持商务合作联系我们
国际网络专题:office 365mpls应用场景mpls原理vpls与mplsmstp与mplsiplc与mplst-mplsmpls ldpmpls-templs意思mpls协议mpls电信国际专线国际专线价格专线多少钱企业网络专线网络国际专线国际专线跨境网络专线东莞国际专线东莞专线接入东莞国际上网东莞电信网络东莞电信专线深圳电信专线深圳电信光纤深圳专线宽带深圳专线价格深圳专线费用深圳光纤价格深港网络专线深港专线价格深圳专线上网深圳国际专线互联网专线申请
Copyright @ 版权所有2012-2019 广东云杰通信有限公司 粤ICP备18062193号-2

在线咨询

在线咨询真诚为您提供专业解答服务

咨询热线

13631779516欢迎致电咨询

微信咨询

二维码微信扫一扫咨询
返回顶部