云杰通信助您了解行业,全方位掌握国际互联网最新资讯
在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。
比如,CDN用于提高用户访问速度;LVS实现负载均衡和高可用;Nginx服务器提供Web服务;Tomcat服务器当动态Web服务;NFS当图片服务器和Web页面;rsync和inotify实现全网备份;zabbix实现对所有主机监控;jekins等软件实现批量管理。
防火墙较多的应用在内网保护(NAT),流控,过滤等方面;而在对攻击方面的检测和防御方面相对较弱、所以就需要IDS和IPS。
而IDS(Intrusion Detection Systems),只是做些攻击的检测工作,本身并不做防护,它检测到攻击的时候,可能此时攻击已经产生灾难了,所以IDS一般都需要和一些防攻击设备IPS共用;
IPS(Intrusion Prevention System),它不光对已知的攻击种类能防御,还能检测些异常协议的攻击,比较灵活。
防火墙是防御系统,属于访问控制类产品
IDS是入侵检测系统,属于审计类产品
IPS是入侵防御系统,属于访问控制类产品
IDS虽是IPS的前身,但本质上,IPS已经发生了根本的变化,前者是审计类产品,后者属于访问控制类。
有人说,IDS也可以和防火墙联动执行访问控制,但这并不会改变IDS审计类产品的本质,因为,执行访问控制的是防火墙,而不是IDS。
防火墙是基于IP地址和端口来执行访问控制的
IPS是基于入侵检测来执行访问控制的
大型企业网络架构有三层:接入层、汇聚层、核心层。
接入层接入不同的部门,不同的部门属于不同的VLAN,保证了不同部门之间的安全。
核心层有两个核心交换机,实现负载均衡和热备份,即使有一个核心交换机宕机了,网络也不会瘫痪。
对内服务器有一个IDS入侵检测系统,检测对内服务器的安全。
对外服务器有一个 WAF和IDS,用来检测外网用户对对外服务器的访问
边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换。
在网络出口处,还有IPS入侵检测系统,实时检测是否有异常攻击行为,并及时阻断。
出口路由器由两个不同的运营商提供,提供对公网路由。
防火墙、IPS和边界路由器都有两个,实现负载均衡和热备份。即使任何一个宕机了,都不会影响企业网络的正常运作。
DMZ区
DMZ(Demilitarized Zone)非军事化区,也就是隔离区,DMZ区是一个对外服务区,在DMZ区域中存放着一些公共服务器,比如对外的服务器、对外的邮箱等等。用户要从外网访问到的服务,理论上都可以放到DMZ区。
内网可以单向访问DMZ区、外网也可以单向访问DMZ区,DMZ访问内网有限制策略,这样就实现了内外网分离。
DMZ可以理解为一个不同于外网或内网的特殊网络区域,即使黑客攻陷了DMZ区,黑客也不能访问内网区域。
办公区
办公区就是企业员工日常办公的区域,办公区安全防护水平通常不高,基本的防护手段大多为杀毒软件或主机入侵检测产品。在实际的网络环境中,攻击者在获取办公区的权限后,会利用域信任关系来扩大攻击面。
在一般情况下,攻击者很少能直接到达办公区,攻击者进入办公区的手段通常为 鱼叉攻击、水坑攻击 和其他社会工程学手段。
办公区按照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部应用监控系统、运维管理系统等。按照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。
核心区
核心区内一般存放着企业最重要的数据、文档等资产。
例如,域控、核心生产服务器等,安全设置也最为严格。根据业务的不同,相关服务器可能存放于不同的网段中。
核心区按照系统可分为业务系统、运维监控系统、安全系统等,按照网段可分为业务网段、运维监控网段、安全管理网段等。
访问限制
当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。
1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,出口路由器需要进行源地址NAT转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由出口路由器完成对外地址到服务器实际地址的转换。
5.DMZ访问内网有限制
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网
此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网。
文章标题:《大型企业公司网络架构是怎样的?》
作 者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-115-2269-0.html