进群后,我尴尬的开始主动联系C总(可不都是总么)。C总说目前手里没有最新的网络拓扑图,然后甩了一张很久以前的拓扑图,让我大致感受一下就行,然后让我写方案。
what?
原来这个C总就是要一份方案,他好拿去找真正的甲方爸爸汇报申请预算。
在这种几乎是两眼一抹黑的情况下(同志们,遇到这种情况你们一般怎么处理的?)我只好把那份C总口中很久以前的拓扑图当救命稻草,仔细看了起来。
鉴于此为客户信息不好发出,我想到网上找一张类似图给大家看看。
可惜,由于这个图过于奇葩,我没找到。
就此描述一下吧。
一个中心交换机向四周发出了18条放射线,像一朵灿烂的烟花🎆。18条放射线连接的设备类型为13台服务器、2台数据库、2个tomcat中间件服务器、1台路由器、1台防火墙。
🐂就是牛,反正是把我这个未经操练的人整懵了,我心里想,世界上还有这样画网络拓扑图的,所有东西都堆在一起,不划分区域?是我少见多怪了,是我太习惯书中那些教科书式的网络拓扑图了。
定了定心神,我准备先把这个图重新画一下,然后再在这个基础上写建设方案。
首先就是要做安全域的划分。
因为三层网络的设计模型比较常见,讲清楚三层,其他层也容易理解,所以我这里就以此为例子写吧。
三层网络,也就是核心层、汇聚层和接入层。这样的三层网络可不是三个安全域,我们一般可认为纵向有5个区域:
外部接入域:比如外部专线(电信、移动或联通)接入进来,通过路由器交换机转发,通过防火墙挡一挡。
核心域:业务系统放的地方,这里有服务器,也有waf。
服务域:服务器和安全设备放的地方,比如日志审计设备、防病毒、数据库审计、入侵检测、数字证书、漏洞扫描、准人控制、桌面管理等,也会放一些服务器,这里我就不罗列设备了。
终端域:各办公室、运维终端区,直接接到子网交换机上。
暂时写这些,后续有更多案例,再写。
你对网络拓扑结构有什么好的想法吗?咱们可以群里沟通,需要加群可以关注我的微信公众号透明魔方,菜单有联系方式。
群里以网络安全实施人员为主(数据风险评估、通保、等保人员,甲方乙方都有,希望我们能互相学习,创造属于自己的价值)
原文始发于微信公众号(透明魔方):简要说说网络安全域的划分方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论