大型企业公司网络架构是怎样的?

‍

在大型企业网络架构中，有非常多的产品：交换机、路由器、防火墙、IDS、IPS、服务器等装备。

比如，CDN用于提高用户访问速度；LVS实现负载均衡和高可用；Nginx服务器提供Web服务；Tomcat服务器当动态Web服务；NFS当图片服务器和Web页面；rsync和inotify实现全网备份；zabbix实现对所有主机监控；jekins等软件实现批量管理。

防火墙较多的利用在内网保护(NAT)，流控，过滤等方面;而在对攻击方面的检测和防御方面相对较弱、所以就需要IDS和IPS。

而IDS(Intrusion Detection Systems)，只是做些攻击的检测工作，本身其实不做防护，它检测到攻击的时候，可能此时攻击已产生灾害了，所以IDS一般都需要和一些防攻击装备IPS共用;

IPS(Intrusion Prevention System)，它不光对已知的攻击种类能防御，还可以检测些异常协议的攻击，比较灵活。

防火墙是防御系统，属于访问控制类产品

IDS是入侵检测系统，属于审计类产品

IPS是入侵防御系统，属于访问控制类产品

IDS虽是IPS的前身，但本质上，IPS已产生了根本的变化，前者是审计类产品，后者属于访问控制类。

有人说，IDS也能够和防火墙联动履行访问控制，但这其实不会改变IDS审计类产品的本质，由于，履行访问控制的是防火墙，而不是IDS。

防火墙是基于IP地址和端口来履行访问控制的

IPS是基于入侵检测来履行访问控制的

大型企业网络架构有三层：接入层、会聚层、核心层。

接入层接入区别的部门，区别的部门属于区别的VLAN，保证了区别部门之间的安全。

核心层有两个核心交换机，实现负载均衡和热备份，即便有一个核心交换机宕机了，网络也不会瘫痪。

1. 对内服务器有一个IDS入侵检测系统，检测对内服务器的安全。

2. 对外服务器有一个 WAF和IDS，用来检测外网用户对对外服务器的访问

3. 边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换。

在网络出口处，还有IPS入侵检测系统，实时检测会不会有异常攻击行动，并及时阻断。

出口路由器由两个区别的运营商提供，提供对公网路由。

防火墙、IPS和边界路由器都有两个，实现负载均衡和热备份。即便任何一个宕机了，都不会影响企业网络的正常运作。

DMZ区

DMZ(Demilitarized Zone)非军事化区，也就是隔离区，DMZ区是一个对外服务区，在DMZ区域中寄存着一些公共服务器，比如对外的服务器、对外的邮箱等等。用户要从外网访问到的服务，理论上都可以放到DMZ区。

内网可以单向访问DMZ区、外网也能够单向访问DMZ区，DMZ访问内网有限制策略，这样就实现了内外网分离。

DMZ可以理解为一个区别于外网或内网的特殊网络区域，即便黑客攻陷了DMZ区，黑客也不能访问内网区域。

办公区

办公区就是企业员工平常办公的区域，办公区安全防护水平通常不高，基本的防护手段大多为杀毒软件或主机入侵检测产品。在实际的网络环境中，攻击者在获得办公区的权限后，会利用域信任关系来扩大攻击面。

在一般情况下，攻击者很少能直接到达办公区，攻击者进入办公区的手段通常为 鱼叉攻击、水坑攻击 和其他社会工程学手段。

办公区依照系统可分为OA系统、邮件系统、财务系统、文件共享系统、企业版杀毒系统、内部利用监控系统、运维管理系统等。依照网段可分为域管理网段、内部服务器系统网段、各部门分区网段等。

核心区

核心区内一般寄存着企业最重要的数据、文档等资产。

例如，域控、核心生产服务器等，安全设置也最为严格。根据业务的区别，相关服务器可能寄存于区别的网段中。

核心区依照系统可分为业务系统、运维监控系统、安全系统等，依照网段可分为业务网段、运维监控网段、安全管理网段等。

访问限制

当计划一个具有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以肯定以下六条访问控制策略。

1.内网可以访问外网

内网的用户明显需要自由地访问外网。在这一策略中，出口路由器需要进行源地址NAT转换。

2.内网可以访问DMZ

此策略是为了方便内网用户使用和管理DMZ中的服务器。

3.外网不能访问内网

很明显，内网中寄存的是公司内部数据，这些数据不允许外网的用户进行访问。

4.外网可以访问DMZ

DMZ中的服务器本身就是要给外界提供服务的，所之外网一定要可以访问DMZ。同时，外网访问DMZ需要由出口路由器完成对外地址到服务器实际地址的转换。

5.DMZ访问内网有限制

很明显，如果背背此策略，则当入侵者攻陷DMZ时，就能够进一步进攻到内网的重要数据。

6.DMZ不能访问外网

此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网。

桂哥通讯&网络综合解决方案提供商，助力企业信息化建设、数字化转型、和全球化互联。SDWAN方案可实现全球访问加速、SaaS访问加速、国外视频加速、国外分支组网，有效提升国际间沟通效力，助力中国企业开辟国际市场。服务热线：13148556047，欢迎来电咨询。

TikTok千粉号购买平台：https://tiktokusername.com/