在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。

先来看看一个典型的企业网络拓朴图(图中防火墙和IPS需更换位置):

1、出口路由器由两个不同的运营商提供,提供对公网路由;

2、在网络出口处,还有IPS入侵防御系统,实时检测是否有异常攻击行为,并及时阻断;

3、边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换;

4、防火墙、IPS 和 边界路由器都有两个,实现负载均衡和热备份,即使任何一个宕机了,都不会影响企业网络的正常运作;

5、对内服务器有一个IDS入侵检测系统,检测对内服务器的安全;

6、对外服务器有一个 WAF和IDS ,用来检测外网用户对对外服务器的访问。

1、串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力;

2、旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断;

3、IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(即一个会话就可以达成攻击效果,例如SQL注入、溢出攻击等),这使得IDS与防火墙联动在实际应用中的效果不显著。

大型企业网络架构有三层:接入层、汇聚层、核心层。

1、接入层接入不同的部门,不同的部门属于不同的VLAN,保证了不同部门之间的安全;

2、核心层有两个核心交换机,实现负载均衡和热备份,即使有一个核心交换机宕机了,网络也不会瘫痪。

大型企业网络区域有三块:DMZ区、办公区、核心区。

DMZ区

DMZ(Demilitarized Zone)非军事化区,也就是隔离区,DMZ区是一个对外服务区,在DMZ区域中存放着一些公共服务器,比如对外的服务器、对外的邮箱等等。用户要从外网访问到的服务,理论上都可以放到DMZ区。内网可以单向访问DMZ区、外网也可以单向访问DMZ区,DMZ访问内网有限制策略,这样就实现了内外网分离。DMZ可以理解为一个不同于外网或内网的特殊网络区域,即使黑客攻陷了DMZ区,黑客也不能访问内网区域。

办公区

办公区就是企业员工日常办公的区域,办公区安全防护水平通常不高,基本的防护手段大多为杀毒软件或主机入侵检测产品。在实际的网络环境中,攻击者在获取办公区的权限后,会利用域信任关系来扩大攻击面。在一般情况下,攻击者很少能直接到达办公区,攻击者进入办公区的手段通常为 鱼叉攻击、水坑攻击 和其他社会工程学手段。办公区按照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部应用监控系统、运维管理系统等。按照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。

核心区

核心区内一般存放着企业最重要的数据、文档等资产。例如,域控、核心生产服务器等,安全设置也最为严格。根据业务的不同,相关服务器可能存放于不同的网段中。核心区按照系统可分为业务系统、运维监控系统、安全系统等,按照网段可分为业务网段、运维监控网段、安全管理网段。

22个配套视频教程

34张网工必看思维导图

企业大型网络架构怎么做到零攻击?相关推荐

  1. 五分钟了解企业的网络架构

    企业网络架构介绍 企业网络有很多种,像公司网络.教育网络.政府网络以及金融网络,不同场景下对网络的要求也有所不同 企业网络分类 公司网络 ​ 特点:比较注重成本 教育网络 ​ 特点:市.省教育局连接 ...

  2. 大型网络架构变迁和知识图谱

    --仅供个人学习使用,如有侵犯版权,请作者联系我,立马处理. [前端页面缓存] sessionStorage,localStorage,userData,cookie, [sessionStorage ...

  3. 「C位观察」零信任:企业分布式安全管理架构 | C位

    欢迎来到「C位」,它是CMC资本团队全新打造的与创业圈.科技产业.学术界分享交流的频道.通过这个窗口,我们关注和记录在当下发生的诸如企业数字化.产业智能化.业务自动化.无人驾驶与智能车.新能源技术.元 ...

  4. 浅析IRF虚拟化技术增强企业网络架构的弹性

    浅析IRF虚拟化技术增强企业网络架构的弹性  [摘要]随着"云"时代到来和各种虚拟化技术日趋成熟,对传统企业网络架构提出新挑战.例如:在不破坏企业原有网络架构和资产投入情况下,可以 ...

  5. NETBASE DAY05(04):设计大型网络拓扑图

    4.1 问题 本例要求学员自行设计一个大型网络拓扑图,相关说明如下. 上网搜索大型网络拓扑图,分析其接入层.汇聚层.核心层各设备和连接方式 参考搜索的结果使用eNSP设计出来 4.2 步骤 实现此案例 ...

  6. 认识零信任安全网络架构

    目录 一.前言: 二.什么是零信任网络? 三.为什么选择零信任网络? 四.零信任网络与传统安全模型 五.零信任网络的设计原则 六.零信任架构的逻辑组成 七.零信任架构的部署形式 八.总结 一.前言: ...

  7. 记一次实验报告:基于Linux的中小型企业网络架构

    本次实验报告为笔者的一门<Linux服务器配置与管理>课程期末实验报告,期末那一周花了挺多时间做的 首先来仔细看一下实验要求,实验要求挺多的 实验任务要求 案例目标 1.中小型企业网络架构 ...

  8. 【计算机网络学习笔记05】典型企业网络架构、传输介质

    [计算机网络学习笔记05]典型企业网络架构.传输介质 企业网络是 Internet 的重要组成部分,随着企业业务需求而不断地变化.为了了解企业网络如何满足企业业务需求,必须了解典型的企业网络架构以及网 ...

  9. 数字化转型,企业需要何种网络架构?

    文/刘少伟 华为企业网络产品线总裁 我们正进入数字化时代. 这是一个令人激动的过程.因为转型为数字化企业后,企业的经营决策管理.营销与线索管理.客户管理.采购管理.供应链管理.人力资源管理等核心业务的 ...

最新文章

  1. 工作10年,创业5年后,关于人生,我的5点思考
  2. setup_cuda.py 编译gpu_nms
  3. boost::spirit模块演示语法和语义操作的计算器示例
  4. MFC 基础知识:对话框背景添加图片和按钮Button添加图片
  5. [html] 一个标签上同时出现三个或多个class属性,请问它的渲染顺序是怎样的?
  6. Linux 开机报 or type Control-D to continue
  7. VB在菜单上增加图标
  8. [转]Windows 性能监视器工具-perfmon
  9. pads中如何设置等长_如何给PDF中的文本设置高亮显示
  10. error create beanException
  11. 原创 | 职场风云 (二)试验田
  12. 2020年华为鲲鹏产业体系研究深度报告
  13. 2021阿里云ECS镜像导入本地VMware虚拟机
  14. java is alphabetic_\p{IsAlphabetic}
  15. java 图片背景色_java处理图片背景颜色的方法
  16. fx5u模拟量如何读取_三菱fx5u模拟量输入接线
  17. 计算机操作系统——(第四章) 存储器管理/内存管理
  18. 人工智能新目标——看懂视频
  19. 网页webp转非webp的jpg gif png 图片
  20. 一个使用python和TUShare进行股票分析的例子

热门文章

  1. wxWidgets 编译 ICON 资源
  2. androidstuido_schooltest_1
  3. MoeCTF 2021Re部分------baby_bc
  4. 进程线程007 进程挂靠与跨进程读写内存
  5. Codeblocks配置EGE图形库
  6. 51nod 1049 最大子段和
  7. P3805 【模板】manacher 算法【马拉车】
  8. 【学习Python】的网站
  9. 简单易懂的多线程(通过实现Runnable接口实现多线程)
  10. ActiveMQ中Queue生产者