大型企業網路架構

dmz區

辦公區核心區

訪問限制

堡壘機

注：圖中防火牆和ips更換位置

可以看到，在大型企業網路架構中，有非常多的產品：交換機、路由器、防火牆、ids、ips、伺服器等裝置。

那麼有很多人會問，有了防火牆為什麼還要ips和ids呢？

防火牆較多的應用在內網保護（nat），流控，過濾等方面；而在對攻擊方面的檢測和防禦方面相對較弱、所以就需要ids和ips。

而ids（intrusion detection systems），只是做些攻擊的檢測工作，本身並不做防護，它檢測到攻擊的時候，可能此時攻擊已經產生災難了，所以ids一般都需要和一些防攻擊裝置ips共用；

ips（intrusion prevention system)，它不光對已知的攻擊種類能防禦，還能檢測些異常協議的攻擊，比較靈活。

ids雖是ips的前身，但本質上，ips已經發生了根本的變化，前者是審計類產品，後者屬於訪問控制類。

有人說，ids也可以和防火牆聯動執行訪問控制，但這並不會改變ids審計類產品的本質，因為，執行訪問控制的是防火牆，而不是ids。

大型企業網路架構有三層：接入層、匯聚層、核心層。

dmz(demilitarized zone)非軍事化區，也就是隔離區，dmz區是乙個對外服務區，在dmz區域中存放著一些公共伺服器，比如對外的伺服器、對外的郵箱等等。使用者要從外網訪問到的服務，理論上都可以放到dmz區。

內網可以單向訪問dmz區、外網也可以單向訪問dmz區，dmz訪問內網有限制策略，這樣就實現了內外網分離。

dmz可以理解為乙個不同於外網或內網的特殊網路區域，即使黑客攻陷了dmz區，黑客也不能訪問內網區域。

辦公區就是企業員工日常辦公的區域，辦公區安全防護水平通常不高，基本的防護手段大多為防毒軟體或主機入侵檢測產品。在實際的網路環境中，攻擊者在獲取辦公區的許可權後，會利用域信任關係來擴大攻擊面。在一般情況下，攻擊者很少能直接到達辦公區，攻擊者進入辦公區的手段通常為魚叉攻擊、水坑攻擊和其他社會工程學手段。

辦公區按照系統可分為oa系統、郵件系統、財務系統、檔案共享系統、企業版防毒系統、內部應用監控系統、運維管理系統等。按照網段可分為域管理網段、內部伺服器系統網段、各部門分割槽網段等。

核心區內一般存放著企業最重要的資料、文件等資產。例如，域控、核心生產伺服器等，安全設定也最為嚴格。根據業務的不同，相關伺服器可能存放於不同的網段中。

核心區按照系統可分為業務系統、運維監控系統、安全系統等，按照網段可分為業務網段、運維監控網段、安全管理網段等。

當規劃乙個擁有dmz的網路時候,我們可以明確各個網路之間的訪問關係,可以確定以下六條訪問控制策略。

1.內網可以訪問外網

內網的使用者顯然需要自由地訪問外網。在這一策略中，出口路由器需要進行源位址nat轉換。

2.內網可以訪問dmz

此策略是為了方便內網使用者使用和管理dmz中的伺服器。

3.外網不能訪問內網

很顯然，內網中存放的是公司內部資料，這些資料不允許外網的使用者進行訪問。

4.外網可以訪問dmz

dmz中的伺服器本身就是要給外界提供服務的，所以外網必須可以訪問dmz。同時，外網訪問dmz需要由出口路由器完成對外位址到伺服器實際位址的轉換。

5.dmz訪問內網有限制

很明顯，如果違背此策略，則當入侵者攻陷dmz時，就可以進一步進攻到內網的重要資料。

6.dmz不能訪問外網

此條策略也有例外，比如dmz中放置郵件伺服器時，就需要訪問外網。

堡壘機，即在乙個特定的網路環境下，為了保障網路和資料不受來自外部和內部使用者的入侵和破壞，而運用各種技術手段實時收集和監控網路環境中每乙個組成部分的系統狀態、安全事件、網路活動，以便集中報警、記錄、分析、處理的一種技術手段。

其從功能上講，它綜合了核心系統運維和安全審計管控兩大主幹功能，從技術實現上講，通過切斷終端計算機對網路和伺服器資源的直接訪問，而採用協議**的方式，接管了終端計算機對網路和伺服器的訪問。形象地說，終端計算機對目標的訪問，均需要經過運維安全審計的翻譯。打乙個比方，運維安全審計扮演著看門者的工作，所有對網路裝置和伺服器的請求都要從這扇大門經過。因此運維安全審計能夠攔截非法訪問，和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標裝置的非法訪問行為，並對內部人員誤操作和非法操作進行審計監控，以便事後責任追蹤。　

堡壘機原理：

堡壘機實際上是旁路在網路交換機節點上的硬體裝置，實現運維人員遠端訪問維護伺服器的跳板，即物理上併聯，邏輯上串聯。簡單的說，就是伺服器運維管理人員原先是直接通過遠端訪問技術進行伺服器維護和操作，這期間不免有一些誤操作或者越權操作，而「堡壘機」作為遠端運維的跳板，使運維人員間接通過堡壘機進行對遠端服務的的運維操作。如原來使用微軟的遠端桌面rdp進行windows伺服器的遠端運維，現在先訪問到堡壘機，再由堡壘機訪問遠端windows伺服器。這期間，運維人員的所有操作都被記錄下來，可以以螢幕錄影、字元操作日誌等形式長久儲存。在伺服器發生故障時，就可以通過儲存的記錄檢視到以前進行的任何操作。

堡壘機的核心技術實際上就是微軟的rdp協議，通過對rdp協議的解析，實現遠端運維操作的圖形審計。

以windows遠端運維操作為例，客戶端通過rdp協議訪問「堡壘機」，再由堡壘機內建的遠端訪問客戶端訪問遠端windows伺服器，即rdp+rdp。

那麼圖形介面的操作是如何記錄下來的呢？實際上堡壘機內部也是windows作業系統（不一定，有時候是windows+linux），客戶端rdp到堡壘機後，又再一次啟動了新的rdp，這時堡壘機的windows桌面就是遠端訪問到遠端伺服器時的桌面，只需要把這時的桌面情況記錄下來就可以了。

至於字元操作的審計，如ftp，實際上堡壘機內部內建了ftp客戶端程式，也是客戶端主機先rdp到堡壘機，再由堡壘機啟動ftp客戶端程式訪問遠端伺服器，這樣還是由堡壘機作為跳板，間接地把ftp命令傳送到伺服器，並把伺服器的響應資訊反饋給客戶端主機，中間的操作過程全都被記錄了下來。

堡壘機的核心功能：單點登入、賬號管理、身份認證、資源授權、訪問控制和操作審計

大型企業網路架構

企業網路架構

大型企業DevOps採用情況調研

大型企業DNS伺服器搭建

大型企業網路架構

企業網路架構

大型企業DevOps採用情況調研

大型企業DNS伺服器搭建

相關推薦