1. 互联网出口
- 从互联网接入进入到出口网关中间,部署了一个检测中心,用于做流量清洗和检测的操作,来抵御DDoS攻击。
- 左边的沙箱将流量镜像过来先模拟运行一遍,流量没有问题再向内部灌注,从内往外同理要进行测试,针对的是可执行文件而不是所有的
- SSL VPN放在出口一侧,所有外界流量需要先进行一边检验,匹配防火墙的策略,才允许访问内部系统。基于七元组即源目的MAC,源目IP,端口号应用来识别的
- 入侵防御系统
- 上网行为管理:内部需要访问互联网时必须部署上网行为管理系统,对行为做出审计
2. 核心交换区域
3. 服务器区域
在核心交换机的左上
部署了防火墙双机,也具有防病毒、入侵防御以及行为检测等安全设备,也可以认为是集成在防火墙中的安全功能。来对跨区的流量做安全限制
4. 管理区域
部署有态势感知,漏扫,日志审计,堡垒机。数据库审计等。
也有部署防火墙,因为区域和区域之间只需要防火墙进行接入的
4. 某地分区
通过互联网经过防火墙或者网关做VPN形成隧道
5. 集团数据中心
也需要部署防火墙,IPS,防病毒等设备
6. 隔离区
由于新加入的终端不可信,所以必备沙箱还有诱捕系统即蜜罐,判断行为是否符合要求
流量探针:对流量进行审计,传递到态势感知系统上
其实隔离区不是一个单独的区域,二十在办公网和生产网中的一个逻辑区域
因为新加入的终端一定是通过办公网或者生产网进来的
7. 生产网交换机
配置和隔离区基本上是一样的
8. 汇聚
做了VLAN隔离
流量汇聚+旁挂防火墙
9. 总结
所有设备都是双份的,符合高冗余可靠的标准
分区分域,区域之间有防火墙、访问控制和隔离
边界部署VPN,保证了加密的要求
10. 学习视频
https://www.bilibili.com/video/BV1zK411S7VE/?spm_id_from=333.788.recommend_more_video.0&vd_source=8695db634f62ca298b4532bb45d4c211
扫一扫
1135
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
