企业网架构与安全设备部署

这篇具有很好参考价值的文章主要介绍了企业网架构与安全设备部署。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录
  • 企业网三层架构
  • 常见安全设备
  • 网络区域划分
  • 网络架构拓扑示例

企业网三层架构

在现代网络中,为了满足不同规模和需求的组织和企业的通信需求,网络架构通常会划分为多个层次,其中包括接入层汇聚层核心层

  • 接入层:是网络组网中最靠近用户的一层,主要任务是连接用户设备到网络,并提供用户访问网络的接口。

  • 汇聚层:位于接入层和核心层之间,主要任务是连接多个接入层,并将数据流量聚合到核心层进行处理和转发。

  • 核心层:是网络组网中最高级别的层次,负责处理大量的数据流量,并连接不同的汇聚层和网络服务。

企业网架构与安全设备部署

较小规模的网络可能只包含一个接入层和一个核心层,而较大规模的网络可能会有多个接入层和多个汇聚层。

常见安全设备

在大型企业网络架构中,有非常多的网络设备:交换机、路由器、防火墙、IDS、IPS、WAF、服务器等。

常见的网络安全设备有:防火墙、IDS、IPS、WAF、EDR、抗DDoS、漏扫等。

防火墙

根据预定义的规则,检查数据包的源目IP地址、源目端口号、协议等来进行访问控制的,并根据规则允许或阻止数据包通过。它可以是软件、硬件或两者的结合,位于网络边界或内部。

防火墙的主要功能包括:

  • 包过滤:根据预定义的规则允许或阻止数据包通过。

  • 状态检测:监控网络连接的状态和数据包的流量,阻止未经授权的连接。

一些常见的防火墙策略:

  • 最小化权限原则: 限制网络中每个主机和服务所需的最小权限,只允许必要的流量通过防火墙。

  • 默认拒绝: 将防火墙设置为默认拒绝所有流量,只允许经过明确允许的规则的流量通过。

  • 访问控制列表(ACL): 使用 ACL 控制特定 IP 地址、端口或协议的访问权限,以限制流量。

下一代防火墙(NGFW)集成了传统防火墙功能以及先进安全功能,比如应用程序识别和控制、用户和身份验证控制、可扩展性和灵活性等。

IDS

IDS(入侵检测系统)用于监视网络或系统中的活动,识别和响应可能的入侵行为或安全事件。属于审计类产品,只做攻击的检测工作,本身并不做防护,IDS通常与防火墙等安全设备配合使用。

IDS 通常分为两种类型:

  • 基于网络的IDS(NIDS):部署在网络中,监视网络流量并分析数据包以识别潜在的入侵行为。

  • 基于主机的IDS(HIDS):安装在主机上,监视主机上的活动和系统日志,以识别可能的安全威胁。

与防火墙不同的是,IDS入侵检测系统是一个旁路设备,所以应当部署在所有流量都必须流经的链路上,尽可能靠近攻击源,尽可能靠近受保护资源。

IPS

IPS(入侵防御系统)用于检测和阻止网络流量中的恶意活动和攻击,会对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),来执行访问控制的,是对防火墙的补充。

IPS 通常串行部署在可信网络与不可信网络之间。

IDS、IPS和防火墙有什么区别,之间又有什么联系?

IDS 主要用于检测和报告入侵行为,IPS 则进一步在检测到入侵行为后主动阻止威胁,防火墙主要用于过滤网络流量。

防火墙可以拦截低层攻击行为,但是对于一些深层攻击行为无能为力,旁路部署的IDS可以及时发现穿透防火墙的攻击,对防火墙的防护做一个补充,通过IDS来发现,通过防火墙来阻断,但是存在滞后现象,不是最优方案。

IDS系统旁路部署价值在于通过对全网信息的分析,了解信息系统的安全状况。IPS系统串行部署可实时分析网络数据,发现攻击行为立即予以阻断。

WAF

WAF(Web 应用程序防火墙)是专门用于保护 Web 应用程序。通常部署在 Web 应用程序和客户端之间,监视和过滤 HTTP/HTTPS 流量。

反向代理是WAF部署中最常见的部署方式,比如长亭的雷池。在反向代理模式下,客户端和WAF的反代地址建立一个TCP连接,WAF和服务器建立一个TCP连接,通过WAF可以阻断客户端对服务器的攻击。

网络区域划分

大型企业网络区域有三块:DMZ区、办公区、核心区。

DMZ区

DMZ(Demilitarized Zone)非军事区,也就是隔离区。通常用于将受信任的内部网络和不受信任的外部网络隔离开来。DMZ通常用于托管公共服务器,比如Web服务器、邮件服务器等,使其能够被外部网络访问,同时又保护内部网络免受来自外部网络的攻击。

DMZ区域允许某些网络服务在内外两个网络之间进行通信,而不会直接暴露内部网络的敏感信息。也就是内网可以访问DMZ区、外网也可以访问DMZ区,但DMZ访问内网有限制策略,这样就实现了内外网分离。

办公区

办公区是员工日常工作的区域,包括办公桌、会议室、打印机等设备。这个区域连接到核心区,可以访问企业内部资源,但会受到访问控制和安全策略的限制。

办公区安全防护水平通常不高,基本的防护手段大多为杀毒软件或主机入侵检测产品。

核心区

核心区是企业网络的核心部分,包括存储重要数据、应用程序、数据库等关键资源的服务器。身份验证,安全策略相对更为严格。

网络架构拓扑示例

企业网架构与安全设备部署

出口路由器,提供对公网路由。边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换。防火墙、路由器,交换机实现负载均衡和热备份。对外服务器使用WAF和IDS检测外网用户对外服务器的访问。

参考链接:
https://bbs.huaweicloud.com/blogs/399788#H23
https://blog.csdn.net/weixin_39190897/article/details/104166458


若有错误,欢迎指正!o( ̄▽ ̄)ブ文章来源地址https://www.toymoban.com/news/detail-860364.html

到了这里,关于企业网架构与安全设备部署的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • ensp企业网综合实验(课程设计)

        公司技术部、销售部、普通办公区、财务部、人事部、总经理办公区、服务器区分别划分为 VLAN10、VLAN20、VLAN30、VLAN50、VLAN60,VLAN100,交换机与路由器之间用 VLAN 接口作地址通信,具体 vlan 和 IP 地址规划如表1所示 表1 vlan地址划分表 描述 VLAN 号 网段 子网掩码 网关 IP 地

    2024年02月09日
    浏览(40)
  • 最新企业网盘产品推荐榜发布

    随着数字化发展,传统的文化存储方式已无法跟上企业发展的步伐。云存储的出现为企业提供了新的文件管理存储模式。企业网盘作为云存储的代表性工具,被越来越多的企业所青睐。那么在众多企业网盘产品中,企业该如何找到合适的企业网盘呢?小编结合了各个产品评测

    2024年02月10日
    浏览(36)
  • ensp模拟企业网实例搭建与配置

    该文章拓扑加文档下载链接: ensp模拟企业网实例(精品拓扑) 本文规划的是一个公司的网络搭建,采用接入层、核心层、汇聚层三层网络。所有交换机运行MSTP和VRRP协议,做冗余备份,保护链路安全。运行ospf动态路由协议,方便路由维护。使用dhcp动态分配地址,便于ip地址

    2024年02月01日
    浏览(45)
  • 中小型企业网网络搭建ensp模拟

    本期模拟中小型企业的万能组网,该场景为总部与分部之间的跨运营商互访,如果拆开来,就是小型企业的内网环境,技术可以任意搭配 场景1:总部部署STPRSTPVRRPOSPF静态,基于防火墙的GRE VPNIPSEC VPN、NAT 场景2:总部部署STPMSTPVRRP负载OSPF静态,基于防火墙的GRE VPNIPSEC

    2024年02月07日
    浏览(47)
  • 华为ensp模拟校园网/企业网实例--中型企业无线网络的设计

    文章简介:本文做了一个中型企业无线网络的设计,课题重点突出无线网络和高安全性,除了基础的功能要通,还需要实现无线AP,防火墙功能,VLAN技术,ACL访问控制实现过滤,生成树协议,负载分担,NAT技术实现私有网络IP地址转换为公有网络IP地址,无线技术,加密技术。

    2023年04月08日
    浏览(48)
  • ensp典型中小型企业网搭建(带无线)

    该设计规划的是一个公司的网络搭建,采用接入层、核心层、汇聚层三层网络。所有接入层汇聚层交换机运行MSTP和VRRP协议,做冗余备份,保护设备和链路稳定性。运行ospf动态路由协议,方便路由维护。使用dhcp动态分配地址,便于ip地址管理。出口采用防火墙设备,保护网络

    2024年02月05日
    浏览(49)
  • 成集云 | 电子签署集成腾讯云企业网盘 | 解决方案

    源系统 成集云 目标系统 电子签署是通过电子方式完成合同、文件或其他文件的签署过程。相较于传统的纸质签署,电子签署具有更高效、更便捷、更安全的优势。 在电子签署过程中,使用电子签名技术来验证签署者的身份并确保签署文件的完整性。电子签名采用了多种技术

    2024年02月12日
    浏览(52)
  • 基于Ensp企业网的无线组建与实验的仿真设计

    文章简介:本文用华为ensp对企业网络进行了网络规划和无线模拟等场景,文章附完整设备配置命令。附件为ensp项目,如有需要可下载后联系作者,提供售后服务,可以根据定制化需求做修改 作者简介:高级网络工程师,希望能认识更多的小伙伴一起交流,可私信或企鹅号:

    2023年04月08日
    浏览(41)
  • 企业网盘选购攻略,如何选择最适合你的云存储服务?

    在如今的企业办公中,每天都会产出各种不同类型的文件,传统纸质文件的管理方式,不仅不方便协作,而且容易丢失。于是企业将目光转向企业网盘工具,企业网盘的热门肯定了其在文件管理与协作方面的表现。那么企业网盘哪个好?该怎样选择合适呢?  在挑选网盘使用

    2024年02月03日
    浏览(48)
  • 企业网 SSL VPN 史诗级配置-华为ensp毕设实验

    最初的实验路由器为边界,路由器做nat访问sw1上的两个三次vlanif,后期客户要求在该拓扑上部署ssl vpn,更改拓扑,让防火墙作为边界设备,在sw1下桥接虚拟机,让虚拟机的地址和防火墙G1/0/2的外网口地址互通(甭管用啥协议,目的就是打通) SSL VPN配置开始 1、桥接虚拟机 在

    2024年02月04日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包