- 企業網三層架構
- 常見安全裝置
- 網路區域劃分
- 網路架構拓撲示例
企業網三層架構
在現代網路中,為了滿足不同規模和需求的組織和企業的通訊需求,網路架構通常會劃分為多個層次,其中包括接入層、匯聚層和核心層。
-
接入層:是網路組網中最靠近使用者的一層,主要任務是連線使用者裝置到網路,並提供使用者訪問網路的介面。
-
匯聚層:位於接入層和核心層之間,主要任務是連線多個接入層,並將資料流量聚合到核心層進行處理和轉發。
-
核心層:是網路組網中最高階別的層次,負責處理大量的資料流量,並連線不同的匯聚層和網路服務。
較小規模的網路可能只包含一個接入層和一個核心層,而較大規模的網路可能會有多個接入層和多個匯聚層。
常見安全裝置
在大型企業網路架構中,有非常多的網路裝置:交換機、路由器、防火牆、IDS、IPS、WAF、伺服器等。
常見的網路安全裝置有:防火牆、IDS、IPS、WAF、EDR、抗DDoS、漏掃等。
防火牆
根據預定義的規則,檢查資料包的源目IP地址、源目埠號、協議等來進行訪問控制的,並根據規則允許或阻止資料包透過。它可以是軟體、硬體或兩者的結合,位於網路邊界或內部。
防火牆的主要功能包括:
-
包過濾:根據預定義的規則允許或阻止資料包透過。
-
狀態檢測:監控網路連線的狀態和資料包的流量,阻止未經授權的連線。
一些常見的防火牆策略:
-
最小化許可權原則: 限制網路中每個主機和服務所需的最小許可權,只允許必要的流量透過防火牆。
-
預設拒絕: 將防火牆設定為預設拒絕所有流量,只允許經過明確允許的規則的流量透過。
-
訪問控制列表(ACL): 使用 ACL 控制特定 IP 地址、埠或協議的訪問許可權,以限制流量。
下一代防火牆(NGFW)整合了傳統防火牆功能以及先進安全功能,比如應用程式識別和控制、使用者和身份驗證控制、可擴充套件性和靈活性等。
IDS
IDS(入侵檢測系統)用於監視網路或系統中的活動,識別和響應可能的入侵行為或安全事件。屬於審計類產品,只做攻擊的檢測工作,本身並不做防護,IDS通常與防火牆等安全裝置配合使用。
IDS 通常分為兩種型別:
-
基於網路的IDS(NIDS):部署在網路中,監視網路流量並分析資料包以識別潛在的入侵行為。
-
基於主機的IDS(HIDS):安裝在主機上,監視主機上的活動和系統日誌,以識別可能的安全威脅。
與防火牆不同的是,IDS入侵檢測系統是一個旁路裝置,所以應當部署在所有流量都必須流經的鏈路上,儘可能靠近攻擊源,儘可能靠近受保護資源。
IPS
IPS(入侵防禦系統)用於檢測和阻止網路流量中的惡意活動和攻擊,會對流經的每個報文進行深度檢測(協議分析跟蹤、特徵匹配、流量統計分析、事件關聯分析等),來執行訪問控制的,是對防火牆的補充。
IPS 通常序列部署在可信網路與不可信網路之間。
IDS、IPS和防火牆有什麼區別,之間又有什麼聯絡?
IDS 主要用於檢測和報告入侵行為,IPS 則進一步在檢測到入侵行為後主動阻止威脅,防火牆主要用於過濾網路流量。
防火牆可以攔截低層攻擊行為,但是對於一些深層攻擊行為無能為力,旁路部署的IDS可以及時發現穿透防火牆的攻擊,對防火牆的防護做一個補充,透過IDS來發現,透過防火牆來阻斷,但是存在滯後現象,不是最優方案。
IDS系統旁路部署價值在於透過對全網資訊的分析,瞭解資訊系統的安全狀況。IPS系統序列部署可實時分析網路資料,發現攻擊行為立即予以阻斷。
WAF
WAF(Web 應用程式防火牆)是專門用於保護 Web 應用程式。通常部署在 Web 應用程式和客戶端之間,監視和過濾 HTTP/HTTPS 流量。
反向代理是WAF部署中最常見的部署方式,比如長亭的雷池。在反向代理模式下,客戶端和WAF的反代地址建立一個TCP連線,WAF和伺服器建立一個TCP連線,透過WAF可以阻斷客戶端對伺服器的攻擊。
網路區域劃分
大型企業網路區域有三塊:DMZ區、辦公區、核心區。
DMZ區
DMZ(Demilitarized Zone)非軍事區,也就是隔離區。通常用於將受信任的內部網路和不受信任的外部網路隔離開來。DMZ通常用於託管公共伺服器,比如Web伺服器、郵件伺服器等,使其能夠被外部網路訪問,同時又保護內部網路免受來自外部網路的攻擊。
DMZ區域允許某些網路服務在內外兩個網路之間進行通訊,而不會直接暴露內部網路的敏感資訊。也就是內網可以訪問DMZ區、外網也可以訪問DMZ區,但DMZ訪問內網有限制策略,這樣就實現了內外網分離。
辦公區
辦公區是員工日常工作的區域,包括辦公桌、會議室、印表機等裝置。這個區域連線到核心區,可以訪問企業內部資源,但會受到訪問控制和安全策略的限制。
辦公區安全防護水平通常不高,基本的防護手段大多為防毒軟體或主機入侵檢測產品。
核心區
核心區是企業網路的核心部分,包括儲存重要資料、應用程式、資料庫等關鍵資源的伺服器。身份驗證,安全策略相對更為嚴格。
網路架構拓撲示例
出口路由器,提供對公網路由。邊界防火牆主要是用來進行流量控制、流量過濾和進行內外網NAT轉換。防火牆、路由器,交換機實現負載均衡和熱備份。對外伺服器使用WAF和IDS檢測外網使用者對外伺服器的訪問。
參考連結:
https://bbs.huaweicloud.com/blogs/399788#H23
https://blog.csdn.net/weixin_39190897/article/details/104166458
若有錯誤,歡迎指正!o( ̄▽ ̄)ブ