企业网架构与安全设备部署

企业网三层架构

在现代网络中,为了满足不同规模和需求的组织和企业的通信需求,网络架构通常会划分为多个层次,其中包括接入层汇聚层核心层

  • 接入层:是网络组网中最靠近用户的一层,主要任务是连接用户设备到网络,并提供用户访问网络的接口。

  • 汇聚层:位于接入层和核心层之间,主要任务是连接多个接入层,并将数据流量聚合到核心层进行处理和转发。

  • 核心层:是网络组网中最高级别的层次,负责处理大量的数据流量,并连接不同的汇聚层和网络服务。

较小规模的网络可能只包含一个接入层和一个核心层,而较大规模的网络可能会有多个接入层和多个汇聚层。

常见安全设备

在大型企业网络架构中,有非常多的网络设备:交换机、路由器、防火墙、IDS、IPS、WAF、服务器等。

常见的网络安全设备有:防火墙、IDS、IPS、WAF、EDR、抗DDoS、漏扫等。

防火墙

根据预定义的规则,检查数据包的源目IP地址、源目端口号、协议等来进行访问控制的,并根据规则允许或阻止数据包通过。它可以是软件、硬件或两者的结合,位于网络边界或内部。

防火墙的主要功能包括:

  • 包过滤:根据预定义的规则允许或阻止数据包通过。

  • 状态检测:监控网络连接的状态和数据包的流量,阻止未经授权的连接。

一些常见的防火墙策略:

  • 最小化权限原则: 限制网络中每个主机和服务所需的最小权限,只允许必要的流量通过防火墙。

  • 默认拒绝: 将防火墙设置为默认拒绝所有流量,只允许经过明确允许的规则的流量通过。

  • 访问控制列表(ACL): 使用 ACL 控制特定 IP 地址、端口或协议的访问权限,以限制流量。

下一代防火墙(NGFW)集成了传统防火墙功能以及先进安全功能,比如应用程序识别和控制、用户和身份验证控制、可扩展性和灵活性等。

IDS

IDS(入侵检测系统)用于监视网络或系统中的活动,识别和响应可能的入侵行为或安全事件。属于审计类产品,只做攻击的检测工作,本身并不做防护,IDS通常与防火墙等安全设备配合使用。

IDS 通常分为两种类型:

  • 基于网络的IDS(NIDS):部署在网络中,监视网络流量并分析数据包以识别潜在的入侵行为。

  • 基于主机的IDS(HIDS):安装在主机上,监视主机上的活动和系统日志,以识别可能的安全威胁。

与防火墙不同的是,IDS入侵检测系统是一个旁路设备,所以应当部署在所有流量都必须流经的链路上,尽可能靠近攻击源,尽可能靠近受保护资源。

IPS

IPS(入侵防御系统)用于检测和阻止网络流量中的恶意活动和攻击,会对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),来执行访问控制的,是对防火墙的补充。

IPS 通常串行部署在可信网络与不可信网络之间。

IDS、IPS和防火墙有什么区别,之间又有什么联系?

IDS 主要用于检测和报告入侵行为,IPS 则进一步在检测到入侵行为后主动阻止威胁,防火墙主要用于过滤网络流量。

防火墙可以拦截低层攻击行为,但是对于一些深层攻击行为无能为力,旁路部署的IDS可以及时发现穿透防火墙的攻击,对防火墙的防护做一个补充,通过IDS来发现,通过防火墙来阻断,但是存在滞后现象,不是最优方案。

IDS系统旁路部署价值在于通过对全网信息的分析,了解信息系统的安全状况。IPS系统串行部署可实时分析网络数据,发现攻击行为立即予以阻断。

WAF

WAF(Web 应用程序防火墙)是专门用于保护 Web 应用程序。通常部署在 Web 应用程序和客户端之间,监视和过滤 HTTP/HTTPS 流量。

反向代理是WAF部署中最常见的部署方式,比如长亭的雷池。在反向代理模式下,客户端和WAF的反代地址建立一个TCP连接,WAF和服务器建立一个TCP连接,通过WAF可以阻断客户端对服务器的攻击。

网络区域划分

大型企业网络区域有三块:DMZ区、办公区、核心区。

DMZ区

DMZ(Demilitarized Zone)非军事区,也就是隔离区。通常用于将受信任的内部网络和不受信任的外部网络隔离开来。DMZ通常用于托管公共服务器,比如Web服务器、邮件服务器等,使其能够被外部网络访问,同时又保护内部网络免受来自外部网络的攻击。

DMZ区域允许某些网络服务在内外两个网络之间进行通信,而不会直接暴露内部网络的敏感信息。也就是内网可以访问DMZ区、外网也可以访问DMZ区,但DMZ访问内网有限制策略,这样就实现了内外网分离。

办公区

办公区是员工日常工作的区域,包括办公桌、会议室、打印机等设备。这个区域连接到核心区,可以访问企业内部资源,但会受到访问控制和安全策略的限制。

办公区安全防护水平通常不高,基本的防护手段大多为杀毒软件或主机入侵检测产品。

核心区

核心区是企业网络的核心部分,包括存储重要数据、应用程序、数据库等关键资源的服务器。身份验证,安全策略相对更为严格。

网络架构拓扑示例

出口路由器,提供对公网路由。边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换。防火墙、路由器,交换机实现负载均衡和热备份。对外服务器使用WAF和IDS检测外网用户对外服务器的访问。

参考链接:
https://bbs.huaweicloud.com/blogs/399788#H23
https://blog.csdn.net/weixin_39190897/article/details/104166458


若有错误,欢迎指正!o( ̄▽ ̄)ブ

热门相关:隐婚99天:首长,请矜持   越境鬼医   校花之贴身高手   剑道邪尊   万妖帝主