根据计算机网络的性质、规模等不同,可以将计算机网络划分为以下两种类型:企业计算机网络或者校园计算机网络:这是一般的计算机网络结构,他使用访问融合核心和双核网络的三层架构。根据计算机网络需求,一般分为用户区域、内部服务区域、外部服务区域、管理区域、互联网区域等,他们通过核心交换机和防火墙连接并隔离。互联网使用多出口连接,通过路由器的拨号和NAT,通过流控制产品的负载平衡、互联网行为管理及通过防火墙的安全隔离。数据中心计算机网络:他主要分为承租人区域(服务集群),互联网区域和安全管理区域。其中,租户区域采用设备虚拟化和链路虚拟化技术来提高设备处理能力和链路承载能力,并将负载均衡器放置在服务器区域中,以合理有效的方式将流量分配给服务器。互联网出口区域使用路由器执行BGP和NAT ,使用IPS、ANTI-DDoS设备进行大流量泛洪攻击防御,使用流控制执行出口负载,并使用防火墙进行安全隔离。可以通过防火墙安全地访问安全管理区域,并通过审核、日志、入侵检测。
安全域划分,他是一个需要自上而下的,需要被管理性定义的一套原则。具体来讲,在实际网络环境中的应用,他会有生产、测试、开发等不同类型,而应用可能有Web、数据库及存储等不同服务器所构成,从安全的角度来说,我们会将Web服务器放在DMZ区域,数据库和存储服务器放在核心区域,从业务的角度来说,安全域划分应该遵循以下原则,例如:生产外区域、生产区域、测试外区域、测试区域等,对于以上划分的四个区域,我们可以通过防火墙配置相应的访问控制策略,实现基本的逻辑隔离。具体来讲,例如:企业官网、办公系统等外联服务器部署在DMZ区域,数据库及存储部署在核心区域,防火墙的策略按照业务转发实际明细去配置,这是业务类的安全域划分原则,根据类型不同来划分,还有接入类,例如:互联网、外联网、远程接入、异地数据中心内部二、三层接入等,其基本划分原则大同小异,不同级别有不同级别的访问控制权限。
浙公网安备 33010602011771号