在大型企業網絡架構中，有非常多的產品：交換機、路由器、防火墻、IDS、IPS、服務器等設備。

先來看看一個典型的企業網絡拓樸圖（圖中防火墻和IPS需更換位置）：

1、出口路由器由兩個不同的運營商提供，提供對公網路由；

2、在網絡出口處，還有IPS入侵防御系統，實時檢測是否有異常攻擊行為，并及時阻斷；

3、邊界防火墻主要是用來進行流量控制、流量過濾和進行內外網NAT轉換；

4、防火墻、IPS 和 邊界路由器都有兩個，實現負載均衡和熱備份，即使任何一個宕機了，都不會影響企業網絡的正常運作；

5、對內服務器有一個IDS入侵檢測系統，檢測對內服務器的安全；

6、對外服務器有一個 WAF和IDS ，用來檢測外網用戶對對外服務器的訪問。

1、串行部署的防火墻可以攔截低層攻擊行為，但對應用層的深層攻擊行為無能為力；

2、旁路部署的IDS可以及時發現那些穿透防火墻的深層攻擊行為，作為防火墻的有益補充，但很可惜的是無法實時的阻斷；

3、IDS和防火墻聯動：通過IDS來發現，通過防火墻來阻斷。但由于迄今為止沒有統一的接口規范，加上越來越頻發的“瞬間攻擊”（即一個會話就可以達成攻擊效果，例如SQL注入、溢出攻擊等），這使得IDS與防火墻聯動在實際應用中的效果不顯著。

大型企業網絡架構有三層：接入層、匯聚層、核心層。

1、接入層接入不同的部門，不同的部門屬于不同的VLAN，保證了不同部門之間的安全；

2、核心層有兩個核心交換機，實現負載均衡和熱備份，即使有一個核心交換機宕機了，網絡也不會癱瘓。

大型企業網絡區域有三塊：DMZ區、辦公區、核心區。

DMZ區

DMZ(Demilitarized Zone)非軍事化區，也就是隔離區，DMZ區是一個對外服務區，在DMZ區域中存放著一些公共服務器，比如對外的服務器、對外的郵箱等等。用戶要從外網訪問到的服務，理論上都可以放到DMZ區。內網可以單向訪問DMZ區、外網也可以單向訪問DMZ區，DMZ訪問內網有限制策略，這樣就實現了內外網分離。DMZ可以理解為一個不同于外網或內網的特殊網絡區域，即使黑客攻陷了DMZ區，黑客也不能訪問內網區域。

辦公區

辦公區就是企業員工日常辦公的區域，辦公區安全防護水平通常不高，基本的防護手段大多為殺毒軟件或主機入侵檢測產品。在實際的網絡環境中，攻擊者在獲取辦公區的權限后，會利用域信任關系來擴大攻擊面。在一般情況下，攻擊者很少能直接到達辦公區，攻擊者進入辦公區的手段通常為 魚叉攻擊、水坑攻擊 和其他社會工程學手段。辦公區按照系統可分為OA系統、郵件系統、財務系統、文件共享系統、企業版殺毒系統、內部應用監控系統、運維管理系統等。按照網段可分為域管理網段、內部服務器系統網段、各部門分區網段等。

核心區

核心區內一般存放著企業最重要的數據、文檔等資產。例如，域控、核心生產服務器等，安全設置也最為嚴格。根據業務的不同，相關服務器可能存放于不同的網段中。核心區按照系統可分為業務系統、運維監控系統、安全系統等，按照網段可分為業務網段、運維監控網段、安全管理網段。

22個配套視頻教程

34張網工必看思維導圖

?

總結

以上是生活随笔為你收集整理的企业大型网络架构怎么做到零攻击？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。