企业网架构与安全设备部署
目录[*]企业网三层架构
[*]常见安全设备
[*]网络地区划分
[*]网络架构拓扑示例
企业网三层架构
在当代网络中,为了满足不同规模和需求的组织和企业的通信需求,网络架构通常会划分为多个层次,其中包罗接入层、汇聚层和核心层。
[*]接入层:是网络组网中最靠近用户的一层,紧张任务是连接用户设备到网络,并提供用户访问网络的接口。
[*]汇聚层:位于接入层和核心层之间,紧张任务是连接多个接入层,并将数据流量聚合到核心层进行处理和转发。
[*]核心层:是网络组网中最高级别的层次,负责处理大量的数据流量,并连接不同的汇聚层和网络服务。
https://img2024.cnblogs.com/blog/3222269/202404/3222269-20240426162327044-28007666.png
较小规模的网络可能只包含一个接入层和一个核心层,而较大规模的网络可能会有多个接入层和多个汇聚层。
常见安全设备
在大型企业网络架构中,有非常多的网络设备:互换机、路由器、防火墙、IDS、IPS、WAF、服务器等。
常见的网络安全设备有:防火墙、IDS、IPS、WAF、EDR、抗DDoS、漏扫等。
防火墙
根据预定义的规则,检查数据包的源目IP地址、源目端口号、协议等来进行访问控制的,并根据规则答应或阻止数据包通过。它可以是软件、硬件或两者的结合,位于网络边界或内部。
防火墙的紧张功能包罗:
[*]包过滤:根据预定义的规则答应或阻止数据包通过。
[*]状态检测:监控网络连接的状态和数据包的流量,阻止未经授权的连接。
一些常见的防火墙策略:
[*]最小化权限原则: 限定网络中每个主机和服务所需的最小权限,只答应必要的流量通过防火墙。
[*]默认拒绝: 将防火墙设置为默认拒绝所有流量,只答应经过明确答应的规则的流量通过。
[*]访问控制列表(ACL): 使用 ACL 控制特定 IP 地址、端口或协议的访问权限,以限定流量。
下一代防火墙(NGFW)集成了传统防火墙功能以及先进安全功能,好比应用程序辨认和控制、用户和身份验证控制、可扩展性和灵活性等。
IDS
IDS(入侵检测系统)用于监督网络或系统中的活动,辨认和相应可能的入侵行为或安全事件。属于审计类产品,只做攻击的检测工作,本身并不做防护,IDS通常与防火墙等安全设备配合使用。
IDS 通常分为两种类型:
[*]基于网络的IDS(NIDS):部署在网络中,监督网络流量并分析数据包以辨认潜在的入侵行为。
[*]基于主机的IDS(HIDS):安装在主机上,监督主机上的活动和系统日记,以辨认可能的安全威胁。
与防火墙不同的是,IDS入侵检测系统是一个旁路设备,所以应当部署在所有流量都必须流经的链路上,尽可能靠近攻击源,尽可能靠近受保护资源。
IPS
IPS(入侵防御系统)用于检测和阻止网络流量中的恶意活动和攻击,会对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),来实行访问控制的,是对防火墙的补充。
IPS 通常串行部署在可信网络与不可信网络之间。
IDS、IPS和防火墙有什么区别,之间又有什么联系?
IDS 紧张用于检测和报告入侵行为,IPS 则进一步在检测到入侵行为后自动阻止威胁,防火墙紧张用于过滤网络流量。
防火墙可以拦截低层攻击行为,但是对于一些深层攻击行为无能为力,旁路部署的IDS可以及时发现穿透防火墙的攻击,对防火墙的防护做一个补充,通过IDS来发现,通过防火墙来阻断,但是存在滞后现象,不是最优方案。
IDS系统旁路部署价值在于通过对全网信息的分析,了解信息系统的安全状态。IPS系统串行部署可及时分析网络数据,发现攻击行为立即予以阻断。
WAF
WAF(Web 应用程序防火墙)是专门用于保护 Web 应用程序。通常部署在 Web 应用程序和客户端之间,监督和过滤 HTTP/HTTPS 流量。
反向代理是WAF部署中最常见的部署方式,好比长亭的雷池。在反向代理模式下,客户端和WAF的反代地址建立一个TCP连接,WAF和服务器建立一个TCP连接,通过WAF可以阻断客户端对服务器的攻击。
网络地区划分
大型企业网络地区有三块:DMZ区、办公区、核心区。
DMZ区
DMZ(Demilitarized Zone)非军事区,也就是隔离区。通常用于将受信任的内部网络和不受信任的外部网络隔离开来。DMZ通常用于托管公共服务器,好比Web服务器、邮件服务器等,使其能够被外部网络访问,同时又保护内部网络免受来自外部网络的攻击。
DMZ地区答应某些网络服务在内外两个网络之间进行通信,而不会直接袒露内部网络的敏感信息。也就是内网可以访问DMZ区、外网也可以访问DMZ区,但DMZ访问内网有限定策略,这样就实现了内外网分离。
办公区
办公区是员工日常工作的地区,包罗办公桌、集会室、打印机等设备。这个地区连接到核心区,可以访问企业内部资源,但会受到访问控制和安全策略的限定。
办公区安全防护水平通常不高,根本的防护手段大多为杀毒软件或主机入侵检测产品。
核心区
核心区是企业网络的核心部门,包罗存储紧张数据、应用程序、数据库等关键资源的服务器。身份验证,安全策略相对更为严格。
网络架构拓扑示例
https://img2024.cnblogs.com/blog/3222269/202404/3222269-20240426182549050-1077571306.png
出口路由器,提供对公网路由。边界防火墙紧张是用来进行流量控制、流量过滤和进行内外网NAT转换。防火墙、路由器,互换机实现负载均衡和热备份。对外服务器使用WAF和IDS检测外网用户对外服务器的访问。
参考链接:
https://bbs.huaweicloud.com/blogs/399788#H23
https://blog.csdn.net/weixin_39190897/article/details/104166458
若有错误,接待指正!o( ̄▽ ̄)ブ
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]