根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的性質(zhì)、規(guī)模等不同,可以將計(jì)算機(jī)網(wǎng)絡(luò)劃分為以下兩種類型:企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)或者校園計(jì)算機(jī)網(wǎng)絡(luò):這是一般的計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu),他使用訪問融合核心和雙核網(wǎng)絡(luò)的三層架構(gòu)。根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)需求,一般分為用戶區(qū)域、內(nèi)部服務(wù)區(qū)域、外部服務(wù)區(qū)域、管理區(qū)域、互聯(lián)網(wǎng)區(qū)域等,他們通過核心交換機(jī)和防火墻連接并隔離。互聯(lián)網(wǎng)使用多出口連接,通過路由器的撥號和NAT,通過流控制產(chǎn)品的負(fù)載平衡、互聯(lián)網(wǎng)行為管理及通過防火墻的安全隔離。數(shù)據(jù)中心計(jì)算機(jī)網(wǎng)絡(luò):他主要分為承租人區(qū)域(服務(wù)集群),互聯(lián)網(wǎng)區(qū)域和安全管理區(qū)域。其中,租戶區(qū)域采用設(shè)備虛擬化和鏈路虛擬化技術(shù)來提高設(shè)備處理能力和鏈路承載能力,并將負(fù)載均衡器放置在服務(wù)器區(qū)域中,以合理有效的方式將流量分配給服務(wù)器。互聯(lián)網(wǎng)出口區(qū)域使用路由器執(zhí)行BGP和NAT ,使用IPS、ANTI-DDoS設(shè)備進(jìn)行大流量泛洪攻擊防御,使用流控制執(zhí)行出口負(fù)載,并使用防火墻進(jìn)行安全隔離。可以通過防火墻安全地訪問安全管理區(qū)域,并通過審核、日志、入侵檢測。
安全域劃分,他是一個需要自上而下的,需要被管理性定義的一套原則。具體來講,在實(shí)際網(wǎng)絡(luò)環(huán)境中的應(yīng)用,他會有生產(chǎn)、測試、開發(fā)等不同類型,而應(yīng)用可能有Web、數(shù)據(jù)庫及存儲等不同服務(wù)器所構(gòu)成,從安全的角度來說,我們會將Web服務(wù)器放在DMZ區(qū)域,數(shù)據(jù)庫和存儲服務(wù)器放在核心區(qū)域,從業(yè)務(wù)的角度來說,安全域劃分應(yīng)該遵循以下原則,例如:生產(chǎn)外區(qū)域、生產(chǎn)區(qū)域、測試外區(qū)域、測試區(qū)域等,對于以上劃分的四個區(qū)域,我們可以通過防火墻配置相應(yīng)的訪問控制策略,實(shí)現(xiàn)基本的邏輯隔離。具體來講,例如:企業(yè)官網(wǎng)、辦公系統(tǒng)等外聯(lián)服務(wù)器部署在DMZ區(qū)域,數(shù)據(jù)庫及存儲部署在核心區(qū)域,防火墻的策略按照業(yè)務(wù)轉(zhuǎn)發(fā)實(shí)際明細(xì)去配置,這是業(yè)務(wù)類的安全域劃分原則,根據(jù)類型不同來劃分,還有接入類,例如:互聯(lián)網(wǎng)、外聯(lián)網(wǎng)、遠(yuǎn)程接入、異地?cái)?shù)據(jù)中心內(nèi)部二、三層接入等,其基本劃分原則大同小異,不同級別有不同級別的訪問控制權(quán)限。
浙公網(wǎng)安備 33010602011771號