企業(yè)網(wǎng)三層架構(gòu)

在現(xiàn)代網(wǎng)絡中，為了滿足不同規(guī)模和需求的組織和企業(yè)的通信需求，網(wǎng)絡架構(gòu)通常會劃分為多個層次，其中包括接入層、匯聚層和核心層。

• 接入層：是網(wǎng)絡組網(wǎng)中最靠近用戶的一層，主要任務是連接用戶設備到網(wǎng)絡，并提供用戶訪問網(wǎng)絡的接口。

• 匯聚層：位于接入層和核心層之間，主要任務是連接多個接入層，并將數(shù)據(jù)流量聚合到核心層進行處理和轉(zhuǎn)發(fā)。

• 核心層：是網(wǎng)絡組網(wǎng)中最高級別的層次，負責處理大量的數(shù)據(jù)流量，并連接不同的匯聚層和網(wǎng)絡服務。

較小規(guī)模的網(wǎng)絡可能只包含一個接入層和一個核心層，而較大規(guī)模的網(wǎng)絡可能會有多個接入層和多個匯聚層。

常見安全設備

在大型企業(yè)網(wǎng)絡架構(gòu)中，有非常多的網(wǎng)絡設備：交換機、路由器、防火墻、IDS、IPS、WAF、服務器等。

常見的網(wǎng)絡安全設備有：防火墻、IDS、IPS、WAF、EDR、抗DDoS、漏掃等。

防火墻

根據(jù)預定義的規(guī)則，檢查數(shù)據(jù)包的源目IP地址、源目端口號、協(xié)議等來進行訪問控制的，并根據(jù)規(guī)則允許或阻止數(shù)據(jù)包通過。它可以是軟件、硬件或兩者的結(jié)合，位于網(wǎng)絡邊界或內(nèi)部。

防火墻的主要功能包括：

• 包過濾：根據(jù)預定義的規(guī)則允許或阻止數(shù)據(jù)包通過。

• 狀態(tài)檢測：監(jiān)控網(wǎng)絡連接的狀態(tài)和數(shù)據(jù)包的流量，阻止未經(jīng)授權(quán)的連接。

一些常見的防火墻策略：

• 最小化權(quán)限原則： 限制網(wǎng)絡中每個主機和服務所需的最小權(quán)限，只允許必要的流量通過防火墻。

• 默認拒絕： 將防火墻設置為默認拒絕所有流量，只允許經(jīng)過明確允許的規(guī)則的流量通過。

• 訪問控制列表（ACL）： 使用 ACL 控制特定 IP 地址、端口或協(xié)議的訪問權(quán)限，以限制流量。

下一代防火墻（NGFW）集成了傳統(tǒng)防火墻功能以及先進安全功能，比如應用程序識別和控制、用戶和身份驗證控制、可擴展性和靈活性等。

IDS

IDS（入侵檢測系統(tǒng)）用于監(jiān)視網(wǎng)絡或系統(tǒng)中的活動，識別和響應可能的入侵行為或安全事件。屬于審計類產(chǎn)品，只做攻擊的檢測工作，本身并不做防護，IDS通常與防火墻等安全設備配合使用。

IDS 通常分為兩種類型：

• 基于網(wǎng)絡的IDS（NIDS）：部署在網(wǎng)絡中，監(jiān)視網(wǎng)絡流量并分析數(shù)據(jù)包以識別潛在的入侵行為。

• 基于主機的IDS（HIDS）：安裝在主機上，監(jiān)視主機上的活動和系統(tǒng)日志，以識別可能的安全威脅。

與防火墻不同的是，IDS入侵檢測系統(tǒng)是一個旁路設備，所以應當部署在所有流量都必須流經(jīng)的鏈路上，盡可能靠近攻擊源，盡可能靠近受保護資源。

IPS

IPS（入侵防御系統(tǒng)）用于檢測和阻止網(wǎng)絡流量中的惡意活動和攻擊，會對流經(jīng)的每個報文進行深度檢測（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關(guān)聯(lián)分析等），來執(zhí)行訪問控制的，是對防火墻的補充。

IPS 通常串行部署在可信網(wǎng)絡與不可信網(wǎng)絡之間。

IDS、IPS和防火墻有什么區(qū)別，之間又有什么聯(lián)系？

IDS 主要用于檢測和報告入侵行為，IPS 則進一步在檢測到入侵行為后主動阻止威脅，防火墻主要用于過濾網(wǎng)絡流量。

防火墻可以攔截低層攻擊行為，但是對于一些深層攻擊行為無能為力，旁路部署的IDS可以及時發(fā)現(xiàn)穿透防火墻的攻擊，對防火墻的防護做一個補充，通過IDS來發(fā)現(xiàn)，通過防火墻來阻斷，但是存在滯后現(xiàn)象，不是最優(yōu)方案。

IDS系統(tǒng)旁路部署價值在于通過對全網(wǎng)信息的分析，了解信息系統(tǒng)的安全狀況。IPS系統(tǒng)串行部署可實時分析網(wǎng)絡數(shù)據(jù)，發(fā)現(xiàn)攻擊行為立即予以阻斷。

WAF

WAF（Web 應用程序防火墻）是專門用于保護 Web 應用程序。通常部署在 Web 應用程序和客戶端之間，監(jiān)視和過濾 HTTP/HTTPS 流量。

反向代理是WAF部署中最常見的部署方式，比如長亭的雷池。在反向代理模式下，客戶端和WAF的反代地址建立一個TCP連接，WAF和服務器建立一個TCP連接，通過WAF可以阻斷客戶端對服務器的攻擊。

網(wǎng)絡區(qū)域劃分

大型企業(yè)網(wǎng)絡區(qū)域有三塊：DMZ區(qū)、辦公區(qū)、核心區(qū)。

DMZ區(qū)

DMZ（Demilitarized Zone）非軍事區(qū)，也就是隔離區(qū)。通常用于將受信任的內(nèi)部網(wǎng)絡和不受信任的外部網(wǎng)絡隔離開來。DMZ通常用于托管公共服務器，比如Web服務器、郵件服務器等，使其能夠被外部網(wǎng)絡訪問，同時又保護內(nèi)部網(wǎng)絡免受來自外部網(wǎng)絡的攻擊。

DMZ區(qū)域允許某些網(wǎng)絡服務在內(nèi)外兩個網(wǎng)絡之間進行通信，而不會直接暴露內(nèi)部網(wǎng)絡的敏感信息。也就是內(nèi)網(wǎng)可以訪問DMZ區(qū)、外網(wǎng)也可以訪問DMZ區(qū)，但DMZ訪問內(nèi)網(wǎng)有限制策略，這樣就實現(xiàn)了內(nèi)外網(wǎng)分離。

辦公區(qū)

辦公區(qū)是員工日常工作的區(qū)域，包括辦公桌、會議室、打印機等設備。這個區(qū)域連接到核心區(qū)，可以訪問企業(yè)內(nèi)部資源，但會受到訪問控制和安全策略的限制。

辦公區(qū)安全防護水平通常不高，基本的防護手段大多為殺毒軟件或主機入侵檢測產(chǎn)品。

核心區(qū)

核心區(qū)是企業(yè)網(wǎng)絡的核心部分，包括存儲重要數(shù)據(jù)、應用程序、數(shù)據(jù)庫等關(guān)鍵資源的服務器。身份驗證，安全策略相對更為嚴格。

網(wǎng)絡架構(gòu)拓撲示例

出口路由器，提供對公網(wǎng)路由。邊界防火墻主要是用來進行流量控制、流量過濾和進行內(nèi)外網(wǎng)NAT轉(zhuǎn)換。防火墻、路由器，交換機實現(xiàn)負載均衡和熱備份。對外服務器使用WAF和IDS檢測外網(wǎng)用戶對外服務器的訪問。

參考鏈接：
https://bbs.huaweicloud.com/blogs/399788#H23
https://blog.csdn.net/weixin_39190897/article/details/104166458

若有錯誤，歡迎指正！o(￣▽￣)ブ文章來源地址http://www.zghlxwxcb.cn/news/detail-860364.html

到了這里，關(guān)于企業(yè)網(wǎng)架構(gòu)與安全設備部署的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！