在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。
先来看看一个典型的企业网络拓朴图(图中防火墙和IPS需更换位置):
1、出口路由器由两个不同的运营商提供,提供对公网路由;
2、在网络出口处,还有IPS入侵防御系统,实时检测是否有异常攻击行为,并及时阻断;
3、边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换;
4、防火墙、IPS 和 边界路由器都有两个,实现负载均衡和热备份,即使任何一个宕机了,都不会影响企业网络的正常运作;
5、对内服务器有一个IDS入侵检测系统,检测对内服务器的安全;
6、对外服务器有一个 WAF和IDS ,用来检测外网用户对对外服务器的访问。
1、串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力;
2、旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断;
3、IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(即一个会话就可以达成攻击效果,例如SQL注入、溢出攻击等),这使得IDS与防火墙联动在实际应用中的效果不显著。
大型企业网络架构有三层:接入层、汇聚层、核心层。
1、接入层接入不同的部门,不同的部门属于不同的VLAN,保证了不同部门之间的安全;
2、核心层有两个核心交换机,实现负载均衡和热备份,即使有一个核心交换机宕机了,网络也不会瘫痪。
大型企业网络区域有三块:DMZ区、办公区、核心区。
DMZ区
DMZ(Demilitarized Zone)非军事化区,也就是隔离区,DMZ区是一个对外服务区,在DMZ区域中存放着一些公共服务器,比如对外的服务器、对外的邮箱等等。用户要从外网访问到的服务,理论上都可以放到DMZ区。内网可以单向访问DMZ区、外网也可以单向访问DMZ区,DMZ访问内网有限制策略,这样就实现了内外网分离。DMZ可以理解为一个不同于外网或内网的特殊网络区域,即使黑客攻陷了DMZ区,黑客也不能访问内网区域。
办公区
办公区就是企业员工日常办公的区域,办公区安全防护水平通常不高,基本的防护手段大多为杀毒软件或主机入侵检测产品。在实际的网络环境中,攻击者在获取办公区的权限后,会利用域信任关系来扩大攻击面。在一般情况下,攻击者很少能直接到达办公区,攻击者进入办公区的手段通常为 鱼叉攻击、水坑攻击 和其他社会工程学手段。办公区按照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部应用监控系统、运维管理系统等。按照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。
核心区
核心区内一般存放着企业最重要的数据、文档等资产。例如,域控、核心生产服务器等,安全设置也最为严格。根据业务的不同,相关服务器可能存放于不同的网段中。核心区按照系统可分为业务系统、运维监控系统、安全系统等,按照网段可分为业务网段、运维监控网段、安全管理网段。
22个配套视频教程
34张网工必看思维导图
1345
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
