企業網架構與安全裝置部署

目錄

• 企業網三層架構
• 常見安全裝置
• 網路區域劃分
• 網路架構拓撲示例

企業網三層架構

在現代網路中，為了滿足不同規模和需求的組織和企業的通訊需求，網路架構通常會劃分為多個層次，其中包括接入層、匯聚層和核心層。

• 接入層：是網路組網中最靠近使用者的一層，主要任務是連線使用者裝置到網路，並提供使用者訪問網路的介面。

• 匯聚層：位於接入層和核心層之間，主要任務是連線多個接入層，並將資料流量聚合到核心層進行處理和轉發。

• 核心層：是網路組網中最高階別的層次，負責處理大量的資料流量，並連線不同的匯聚層和網路服務。

較小規模的網路可能只包含一個接入層和一個核心層，而較大規模的網路可能會有多個接入層和多個匯聚層。

常見安全裝置

在大型企業網路架構中，有非常多的網路裝置：交換機、路由器、防火牆、IDS、IPS、WAF、伺服器等。

常見的網路安全裝置有：防火牆、IDS、IPS、WAF、EDR、抗DDoS、漏掃等。

防火牆

根據預定義的規則，檢查資料包的源目IP地址、源目埠號、協議等來進行訪問控制的，並根據規則允許或阻止資料包透過。它可以是軟體、硬體或兩者的結合，位於網路邊界或內部。

防火牆的主要功能包括：

• 包過濾：根據預定義的規則允許或阻止資料包透過。

• 狀態檢測：監控網路連線的狀態和資料包的流量，阻止未經授權的連線。

一些常見的防火牆策略：

• 最小化許可權原則： 限制網路中每個主機和服務所需的最小許可權，只允許必要的流量透過防火牆。

• 預設拒絕： 將防火牆設定為預設拒絕所有流量，只允許經過明確允許的規則的流量透過。

• 訪問控制列表（ACL）： 使用 ACL 控制特定 IP 地址、埠或協議的訪問許可權，以限制流量。

下一代防火牆（NGFW）整合了傳統防火牆功能以及先進安全功能，比如應用程式識別和控制、使用者和身份驗證控制、可擴充套件性和靈活性等。

IDS

IDS（入侵檢測系統）用於監視網路或系統中的活動，識別和響應可能的入侵行為或安全事件。屬於審計類產品，只做攻擊的檢測工作，本身並不做防護，IDS通常與防火牆等安全裝置配合使用。

IDS 通常分為兩種型別：

• 基於網路的IDS（NIDS）：部署在網路中，監視網路流量並分析資料包以識別潛在的入侵行為。

• 基於主機的IDS（HIDS）：安裝在主機上，監視主機上的活動和系統日誌，以識別可能的安全威脅。

與防火牆不同的是，IDS入侵檢測系統是一個旁路裝置，所以應當部署在所有流量都必須流經的鏈路上，儘可能靠近攻擊源，儘可能靠近受保護資源。

IPS

IPS（入侵防禦系統）用於檢測和阻止網路流量中的惡意活動和攻擊，會對流經的每個報文進行深度檢測（協議分析跟蹤、特徵匹配、流量統計分析、事件關聯分析等），來執行訪問控制的，是對防火牆的補充。

IPS 通常序列部署在可信網路與不可信網路之間。

IDS、IPS和防火牆有什麼區別，之間又有什麼聯絡？

IDS 主要用於檢測和報告入侵行為，IPS 則進一步在檢測到入侵行為後主動阻止威脅，防火牆主要用於過濾網路流量。

防火牆可以攔截低層攻擊行為，但是對於一些深層攻擊行為無能為力，旁路部署的IDS可以及時發現穿透防火牆的攻擊，對防火牆的防護做一個補充，透過IDS來發現，透過防火牆來阻斷，但是存在滯後現象，不是最優方案。

IDS系統旁路部署價值在於透過對全網資訊的分析，瞭解資訊系統的安全狀況。IPS系統序列部署可實時分析網路資料，發現攻擊行為立即予以阻斷。

WAF

WAF（Web 應用程式防火牆）是專門用於保護 Web 應用程式。通常部署在 Web 應用程式和客戶端之間，監視和過濾 HTTP/HTTPS 流量。

反向代理是WAF部署中最常見的部署方式，比如長亭的雷池。在反向代理模式下，客戶端和WAF的反代地址建立一個TCP連線，WAF和伺服器建立一個TCP連線，透過WAF可以阻斷客戶端對伺服器的攻擊。

網路區域劃分

大型企業網路區域有三塊：DMZ區、辦公區、核心區。

DMZ區

DMZ（Demilitarized Zone）非軍事區，也就是隔離區。通常用於將受信任的內部網路和不受信任的外部網路隔離開來。DMZ通常用於託管公共伺服器，比如Web伺服器、郵件伺服器等，使其能夠被外部網路訪問，同時又保護內部網路免受來自外部網路的攻擊。

DMZ區域允許某些網路服務在內外兩個網路之間進行通訊，而不會直接暴露內部網路的敏感資訊。也就是內網可以訪問DMZ區、外網也可以訪問DMZ區，但DMZ訪問內網有限制策略，這樣就實現了內外網分離。

辦公區

辦公區是員工日常工作的區域，包括辦公桌、會議室、印表機等裝置。這個區域連線到核心區，可以訪問企業內部資源，但會受到訪問控制和安全策略的限制。

辦公區安全防護水平通常不高，基本的防護手段大多為防毒軟體或主機入侵檢測產品。

核心區

核心區是企業網路的核心部分，包括儲存重要資料、應用程式、資料庫等關鍵資源的伺服器。身份驗證，安全策略相對更為嚴格。

網路架構拓撲示例

出口路由器，提供對公網路由。邊界防火牆主要是用來進行流量控制、流量過濾和進行內外網NAT轉換。防火牆、路由器，交換機實現負載均衡和熱備份。對外伺服器使用WAF和IDS檢測外網使用者對外伺服器的訪問。

參考連結：
https://bbs.huaweicloud.com/blogs/399788#H23
https://blog.csdn.net/weixin_39190897/article/details/104166458

---

若有錯誤，歡迎指正！o(￣▽￣)ブ