企业大型网络架构怎么做到零攻击?
在大型企業(yè)網(wǎng)絡(luò)架構(gòu)中,有非常多的產(chǎn)品:交換機(jī)、路由器、防火墻、IDS、IPS、服務(wù)器等設(shè)備。
先來看看一個典型的企業(yè)網(wǎng)絡(luò)拓樸圖(圖中防火墻和IPS需更換位置):
1、出口路由器由兩個不同的運營商提供,提供對公網(wǎng)路由;
2、在網(wǎng)絡(luò)出口處,還有IPS入侵防御系統(tǒng),實時檢測是否有異常攻擊行為,并及時阻斷;
3、邊界防火墻主要是用來進(jìn)行流量控制、流量過濾和進(jìn)行內(nèi)外網(wǎng)NAT轉(zhuǎn)換;
4、防火墻、IPS 和 邊界路由器都有兩個,實現(xiàn)負(fù)載均衡和熱備份,即使任何一個宕機(jī)了,都不會影響企業(yè)網(wǎng)絡(luò)的正常運作;
5、對內(nèi)服務(wù)器有一個IDS入侵檢測系統(tǒng),檢測對內(nèi)服務(wù)器的安全;
6、對外服務(wù)器有一個 WAF和IDS ,用來檢測外網(wǎng)用戶對對外服務(wù)器的訪問。
1、串行部署的防火墻可以攔截低層攻擊行為,但對應(yīng)用層的深層攻擊行為無能為力;
2、旁路部署的IDS可以及時發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為,作為防火墻的有益補(bǔ)充,但很可惜的是無法實時的阻斷;
3、IDS和防火墻聯(lián)動:通過IDS來發(fā)現(xiàn),通過防火墻來阻斷。但由于迄今為止沒有統(tǒng)一的接口規(guī)范,加上越來越頻發(fā)的“瞬間攻擊”(即一個會話就可以達(dá)成攻擊效果,例如SQL注入、溢出攻擊等),這使得IDS與防火墻聯(lián)動在實際應(yīng)用中的效果不顯著。
大型企業(yè)網(wǎng)絡(luò)架構(gòu)有三層:接入層、匯聚層、核心層。
1、接入層接入不同的部門,不同的部門屬于不同的VLAN,保證了不同部門之間的安全;
2、核心層有兩個核心交換機(jī),實現(xiàn)負(fù)載均衡和熱備份,即使有一個核心交換機(jī)宕機(jī)了,網(wǎng)絡(luò)也不會癱瘓。
大型企業(yè)網(wǎng)絡(luò)區(qū)域有三塊:DMZ區(qū)、辦公區(qū)、核心區(qū)。
DMZ區(qū)
DMZ(Demilitarized Zone)非軍事化區(qū),也就是隔離區(qū),DMZ區(qū)是一個對外服務(wù)區(qū),在DMZ區(qū)域中存放著一些公共服務(wù)器,比如對外的服務(wù)器、對外的郵箱等等。用戶要從外網(wǎng)訪問到的服務(wù),理論上都可以放到DMZ區(qū)。內(nèi)網(wǎng)可以單向訪問DMZ區(qū)、外網(wǎng)也可以單向訪問DMZ區(qū),DMZ訪問內(nèi)網(wǎng)有限制策略,這樣就實現(xiàn)了內(nèi)外網(wǎng)分離。DMZ可以理解為一個不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域,即使黑客攻陷了DMZ區(qū),黑客也不能訪問內(nèi)網(wǎng)區(qū)域。
辦公區(qū)
辦公區(qū)就是企業(yè)員工日常辦公的區(qū)域,辦公區(qū)安全防護(hù)水平通常不高,基本的防護(hù)手段大多為殺毒軟件或主機(jī)入侵檢測產(chǎn)品。在實際的網(wǎng)絡(luò)環(huán)境中,攻擊者在獲取辦公區(qū)的權(quán)限后,會利用域信任關(guān)系來擴(kuò)大攻擊面。在一般情況下,攻擊者很少能直接到達(dá)辦公區(qū),攻擊者進(jìn)入辦公區(qū)的手段通常為 魚叉攻擊、水坑攻擊 和其他社會工程學(xué)手段。辦公區(qū)按照系統(tǒng)可分為OA系統(tǒng)、郵件系統(tǒng)、財務(wù)系統(tǒng)、文件共享系統(tǒng)、企業(yè)版殺毒系統(tǒng)、內(nèi)部應(yīng)用監(jiān)控系統(tǒng)、運維管理系統(tǒng)等。按照網(wǎng)段可分為域管理網(wǎng)段、內(nèi)部服務(wù)器系統(tǒng)網(wǎng)段、各部門分區(qū)網(wǎng)段等。
核心區(qū)
核心區(qū)內(nèi)一般存放著企業(yè)最重要的數(shù)據(jù)、文檔等資產(chǎn)。例如,域控、核心生產(chǎn)服務(wù)器等,安全設(shè)置也最為嚴(yán)格。根據(jù)業(yè)務(wù)的不同,相關(guān)服務(wù)器可能存放于不同的網(wǎng)段中。核心區(qū)按照系統(tǒng)可分為業(yè)務(wù)系統(tǒng)、運維監(jiān)控系統(tǒng)、安全系統(tǒng)等,按照網(wǎng)段可分為業(yè)務(wù)網(wǎng)段、運維監(jiān)控網(wǎng)段、安全管理網(wǎng)段。
22個配套視頻教程
34張網(wǎng)工必看思維導(dǎo)圖
?
總結(jié)
以上是生活随笔為你收集整理的企业大型网络架构怎么做到零攻击?的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 面试常问的29个linux命令
- 下一篇: wifi 7都来了?