互联网访问内网
[用户设备] --> [CDN服务] --> [DNS服务] --> [互联网] --> [防火墙] --> [IDS/IPS] --> [VPN] --> [WAF] --> [堡垒机] --> [NAT转换] --> [内部网络] --> [日志审计] --> [数据库审计] --> [EDR设备] --> [管理] --> [防范] --> [持续安全培训和意识教育] --> [漏洞管理和安全更新] --> [应急响应计划] --> [合规性和法规遵循] --> [定期的安全评估和审计] --> [备份和恢复策略] --> [检测] --> [备份] --> [目标服务器/资源]
当涉及到网络安全架构时,各个组件和服务的用途和作用非常重要。以下是针对您提供的网络安全架构示意图中各个组件和服务的简要解释和用途说明:
用户设备:
指代连接到网络的各种终端设备,比如个人电脑、笔记本电脑、智能手机、平板电脑等。
CDN服务(内容分发网络服务):
用于加速内容传输,通过在全球各地分布的服务器存储网站和应用程序的静态内容,从而提高访问速度、减轻源服务器负载,并提供一定的安全防护能力。
DNS服务(域名系统服务):
提供域名解析服务,将域名转换为IP地址,并在一定程度上提供安全防护和恶意域名过滤等功能。
互联网:
是各种公共网络的总称,连接世界各地的计算机网络,是用户与各种网络服务和资源进行交互的基础。
防火墙:
用于监控和控制进出网络的流量,通过规则和策略来阻止未经授权的访问和恶意流量,保护网络免受攻击。
IDS/IPS(入侵检测系统/入侵防御系统):
用于监视网络或系统的活动,识别和阻止潜在的恶意活动和攻击,提供实时的安全事件警报。
VPN(虚拟专用网络):
提供安全的加密通道,用于在公共网络上安全地传输数据,允许远程用户访问内部网络资源而不暴露在外部网络上。
WAF(网络应用防火墙):
用于保护网络应用程序免受各种网络攻击,如SQL注入、跨站脚本等,确保网络应用程序的安全性。
堡垒机:
用于管理和控制对内部网络的远程访问,提供身份验证和授权,以保护敏感资源和系统。
NAT转换:
网络地址转换,允许多个设备共享单个公共IP地址,增强网络的安全性和隐私性。
内部网络:
组织内部的私有网络,包含各种资源和服务,需要受到安全控制和保护。
日志审计:
记录和审计网络活动和事件,用于追踪和分析安全事件和网络活动。
数据库审计:
监视和审计数据库操作,以检测潜在的安全威胁和数据泄露。
EDR设备(终端检测与响应):
部署在终端设备上,用于监控、检测和响应终端设备上的安全事件,增强终端安全性。
管理:
管理网络安全架构,包括设备和策略的管理,确保系统的稳定性和有效性。
防范:
采取预防措施,防止潜在威胁和攻击,包括培训、漏洞管理等。
持续安全培训和意识教育:
增强用户和员工的安全意识,教育他们识别和应对安全威胁。
漏洞管理和安全更新:
管理系统中的漏洞并进行安全更新,以确保系统的安全性。
应急响应计划:
建立应对安全事件的紧急响应计划,以最小化安全事件对组织造成的影响。
合规性和法规遵循:
确保系统和数据符合法规和行业标准,保障数据安全性和隐私性。
定期的安全评估和审计:
定期对系统进行安全评估和审计,发现和解决潜在的安全风险。
备份和恢复策略:
实施有效的数据备份策略,并测试恢复过程的有效性,以保障数据安全。
检测:
实时监控和检测安全事件和威胁,以便及时响应和处理。
备份:
对关键数据和系统进行备份,以确保数据的完整性和可恢复性。
目标服务器/资源: 组织的关键资源和服务,需要受到以上安全措施的保护。
------------------------------------------在完善补充一下子---------------------------------------------
| 名称 | 简写 | 作用 | 主要部署 |
| 防火墙 | NF | 在线部署,不同安全域的访问控制功能,对访问”允许”或”禁止” | 网络出口、不同安全域 |
| 入侵检测系统 | NIDS | 旁入监听,通过端口镜像方式,监视并记录进入网络主体的行为 | 旁入在核心交换机、汇聚交换机。与防火墙互补、配合的关系 |
| 入侵防御系统 | NIPS | 深度检测,实时阻断。在线部署,对进出流量中的恶意流量如蠕虫、病毒、间谍软件、黑客攻击等进行实时双向阻断,保障业务系统的持续可靠运转。(2-7层防护,僵木蠕) | 网络出口、不同安全域,安全建设必备产品 |
| 抗拒绝服务系统 | ADS | 提高网络带宽,提高服务器资源有效利用率 | 互联网出口 |
| Web应用防火墙 | WAF | 在线部署,防止SQL注入,网站挂马,远程缓存溢出,cookie、Session劫持,实现恶意代码主动防御、网页的文件过滤驱动保护、防跨站攻击、防SQL注入、爬虫和网页盗链防护、网页防篡改系统功能。【应用层防护】 | 对外或内部Web服务器区 |
| 网页防篡改系统 | HDS | 能够检测并阻止各种形式的网页篡改攻击(包括利用WEB Shell等进行的文件篡改、SQL注入、跨站攻击、非法上传以及利用操作系统漏洞进行的网页篡改的攻击);能够发现各种形式攻击导致的网页篡改事件并进行恢复. | 部署在windows或linux服务器上 |
| WEB应用漏洞扫描系统 | WVSS | 全面检查网站各级页面中是否被植入恶意代码(如SQL注入、跨站脚本、网页挂马等),确保网站应用的完整性,有效避免网站成为恶意软件的分发、传播渠道【对Web服务、第三方Web组件、Web应用等扫描】 | 旁入交换机 |
| 网站安全监测系统 | WSM | 针对门户网站、对外业务系统提供7*24小时网站安全监测系统:提供网站漏洞扫描、网页挂马、网页防篡改系统、远程安全通告服务、网页敏感内容、网站平稳度、网页测速、钓鱼网站。 | 针对门户网站、对外业务系统 |
| 远程安全评估系统 | RSAS | 通过扫描高效、准确发现安全漏洞,提供漏洞解决方案 | 对主机、服务器、数据库、网络设备、安全设备、虚拟机等扫描 |
| 安全配置核查系统 | BVS | 针对操作系统,网络设备,安全设备,数据库,应用系统,中间件,虚拟化平台等设备及系统的安全配置加固建议。 | 新系统入网测试,工程验收,运行维护及定期安全检查 |
| 安全审计系统 | SAS | 网络行为审计(QQ,邮件,论坛,发贴,下载,股票,视频,游戏等行为做审计);数据库审计(对数据库查询,删除,修改,插入等操作做审计) | 满足等保,分保,上级检查要求,行业法规等要求. |
| 数据库审计系统 | DAS | 通过对数据库访问信息的采集、分析、识别,实时监控数据库的所有访问操作,同时支持自定义内容关键字库,实现数据库操作的内容监测识别,发现各种违规数据库操作行为,及时报警响应、全过程操作还原,从而实现安全事件的准确全程跟踪定位,全面保障数据库系统的安全。 | 旁边核心服务器区【现提供串联部署的数据库防火墙】 |
| 运维安全管理系统 | OSMS | 统一帐号管理,访问权限控制,事后审计 | 针对员工,合同工,运维人员,代理商,厂商等人员对服务器数据库操作的全程审计 |
| 日志审计系统 | LAS | 集中采集系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。 | 安全管理区域 |
| 上网行为管理 | SAS-W | 上网行为管理,带宽管理 | 一般在网络出口处 |
| 防病毒网关&杀毒软件 | 提供专业硬件杀毒平台,具有病毒防护、木马程序、防间谍软件、反垃圾邮件、防网络钓鱼欺诈等全面的防护功能,可在病毒进入网络并阻塞网络之前予以扫描和清楚。 | 部署在企业的网关处在病毒进入的第一道关口 | |
| VPN | 在外出差或在家办公的人员可通过VPN连接到单位内部网络,能够无障碍地访问公司内网,如同在办公室一样正常办公。 | 出差人员,在家办公人员,分支接入总部等 | |
| 企业安全中心 | ESPC | 安全产品的集中管理平台,帮助用户进行安全设备维护与安全运维管理的工具。支持对NIPS,NIDS,堡垒机,防火墙等安全设备的威胁管理,脆弱性管理,设备管理,策略管理,报表管理,权限管理、系统管理、日常管理、告警管理等。 | 安全管理区域 |
| 智能安全运营平台 | ISOP | 实时掌握网络安全态势,及时检测漏洞、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时通报预警重大网络安全威胁,调查、防范和打击网络攻击等恶意行为,构建覆盖全网的网络安全态势感知、安全监测和通报预警体系。 | 安全管理区域 |
| 网闸 | GAP | 一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 | 内外网结合处 |
———————————————在完善一下子加上网络拓扑抄袭一下———————
名称解释
路由器:
据包转发:
路由器负责在网络中传输数据包。它根据目标地址在网络中选择最佳路径,并将数据包从发送端路由到目标端。
连接不同网络:路由器可以连接不同类型或不同网络协议的网络,比如连接局域网和互联网,或者连接多个局域网。
网络分割与管理:使用路由器可以将网络分割成不同的子网(subnet),允许对每个子网进行管理和控制,提高网络的安全性和性能。
实现网络地址转换(NAT):NAT技术允许路由器在内部网络和外部网络之间转换IP地址,为内部网络中的多台设备共享单个公共IP地址。
实现安全策略:路由器可以配置安全策略,如访问控制列表(ACL),防火墙规则等,以保护网络免受未经授权的访问和攻击。
提供网络服务:在一些企业环境中,路由器可以提供额外的服务,如虚拟专用网络(VPN)连接、负载均衡等功能。
核心交换机
数据转发和路由:
核心交换机负责处理大量的数据流量,它可以高效地转发数据包,并根据目标地址路由数据到正确的目的地。
连接不同网络:核心交换机连接不同的局域网(LAN)、子网或其他网络设备,允许它们互相通信和交换数据。
提供高带宽:通常核心交换机具有更高的网络带宽和处理能力,以满足大规模数据传输的需求,保证网络性能。
提供网络冗余和容错:通过支持冗余连接和网络容错机制,核心交换机可以确保在某些部件或连接出现问题时仍然保持网络的稳定性和可靠性。
支持虚拟化和服务质量(QoS):它能够支持虚拟化技术,并提供服务质量(QoS)功能,根据流量的优先级进行数据处理,以保证对网络资源的合理分配和优化。
网关
网关(Gateway)在计算机网络中是一个重要的设备或软件,其作用包括以下几个方面:
连接不同网络:
网关可以连接不同类型或不同协议的网络,允许数据在不同网络之间传输和交换。它可以连接局域网(LAN)与广域网(WAN)、连接IPv4网络和IPv6网络等。
数据转发和路由:网关负责将数据从源网络传输到目标网络。它根据数据包的目标地址进行路由选择,决定如何传输数据。
协议转换:在连接不同类型网络时,网关可以执行协议转换的功能,将一个协议的数据转换成另一个协议的数据,使得不同类型的网络能够相互通信。
安全控制:网关可以作为安全控制点,实施安全策略,比如实施访问控制、防火墙规则等,以保护网络免受未经授权的访问和攻击。
提供访问外部网络的接口:在家庭或企业网络中,网关通常是连接内部网络与外部互联网的接口,允许内部设备访问互联网资源。
VPN连接:在构建虚拟专用网络(VPN)时,网关可以充当连接本地网络与远程网络之间的接入点,确保安全的远程访问和通信。
2839
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
