企业网架构与安全设备部署-摩杜云开发者社区

企业网三层架构

在现代网络中，为了满足不同规模和需求的组织和企业的通信需求，网络架构通常会划分为多个层次，其中包括接入层、汇聚层和核心层。

较小规模的网络可能只包含一个接入层和一个核心层，而较大规模的网络可能会有多个接入层和多个汇聚层。

在大型企业网络架构中，有非常多的网络设备：交换机、路由器、防火墙、IDS、IPS、WAF、服务器等。

常见的网络安全设备有：防火墙、IDS、IPS、WAF、EDR、抗DDoS、漏扫等。

防火墙

根据预定义的规则，检查数据包的源目IP地址、源目端口号、协议等来进行访问控制的，并根据规则允许或阻止数据包通过。它可以是软件、硬件或两者的结合，位于网络边界或内部。

防火墙的主要功能包括：

一些常见的防火墙策略：

下一代防火墙（NGFW）集成了传统防火墙功能以及先进安全功能，比如应用程序识别和控制、用户和身份验证控制、可扩展性和灵活性等。

IDS

IDS（入侵检测系统）用于监视网络或系统中的活动，识别和响应可能的入侵行为或安全事件。属于审计类产品，只做攻击的检测工作，本身并不做防护，IDS通常与防火墙等安全设备配合使用。

IDS 通常分为两种类型：

与防火墙不同的是，IDS入侵检测系统是一个旁路设备，所以应当部署在所有流量都必须流经的链路上，尽可能靠近攻击源，尽可能靠近受保护资源。

IPS

IPS（入侵防御系统）用于检测和阻止网络流量中的恶意活动和攻击，会对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），来执行访问控制的，是对防火墙的补充。

IPS 通常串行部署在可信网络与不可信网络之间。

IDS、IPS和防火墙有什么区别，之间又有什么联系？

IDS 主要用于检测和报告入侵行为，IPS 则进一步在检测到入侵行为后主动阻止威胁，防火墙主要用于过滤网络流量。

防火墙可以拦截低层攻击行为，但是对于一些深层攻击行为无能为力，旁路部署的IDS可以及时发现穿透防火墙的攻击，对防火墙的防护做一个补充，通过IDS来发现，通过防火墙来阻断，但是存在滞后现象，不是最优方案。

IDS系统旁路部署价值在于通过对全网信息的分析，了解信息系统的安全状况。IPS系统串行部署可实时分析网络数据，发现攻击行为立即予以阻断。

WAF

WAF（Web 应用程序防火墙）是专门用于保护 Web 应用程序。通常部署在 Web 应用程序和客户端之间，监视和过滤 HTTP/HTTPS 流量。

反向代理是WAF部署中最常见的部署方式，比如长亭的雷池。在反向代理模式下，客户端和WAF的反代地址建立一个TCP连接，WAF和服务器建立一个TCP连接，通过WAF可以阻断客户端对服务器的攻击。

大型企业网络区域有三块：DMZ区、办公区、核心区。

DMZ区

DMZ（Demilitarized Zone）非军事区，也就是隔离区。通常用于将受信任的内部网络和不受信任的外部网络隔离开来。DMZ通常用于托管公共服务器，比如Web服务器、邮件服务器等，使其能够被外部网络访问，同时又保护内部网络免受来自外部网络的攻击。

DMZ区域允许某些网络服务在内外两个网络之间进行通信，而不会直接暴露内部网络的敏感信息。也就是内网可以访问DMZ区、外网也可以访问DMZ区，但DMZ访问内网有限制策略，这样就实现了内外网分离。

办公区

办公区是员工日常工作的区域，包括办公桌、会议室、打印机等设备。这个区域连接到核心区，可以访问企业内部资源，但会受到访问控制和安全策略的限制。

办公区安全防护水平通常不高，基本的防护手段大多为杀毒软件或主机入侵检测产品。

核心区

核心区是企业网络的核心部分，包括存储重要数据、应用程序、数据库等关键资源的服务器。身份验证，安全策略相对更为严格。

出口路由器，提供对公网路由。边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换。防火墙、路由器，交换机实现负载均衡和热备份。对外服务器使用WAF和IDS检测外网用户对外服务器的访问。

参考链接：
https://bbs.huaweicloud.com/blogs/399788#H23
https://blog.csdn.net/weixin_39190897/article/details/104166458

若有错误，欢迎指正！o(￣▽￣)ブ