在互联网公司如何设计合理的网络安全架构 _亿图图示

在互联网公司网络安全建设中，不可避免会接触到网络架构。健壮且弹性的网络安全架构是做好网络安全管理的关键。那么如何设计一个适用的且合规的网络安全架构呢。本文将以笔者的实践进行了总结分享。为了让大家对互联网公司的网络安全架构先有一个直观的感受，分享一下之前在一个互联网公司网络安全建设中参与规划的一个网络架构。

文章插图

需要这些哦
亿图图示
收集架构拓扑常识
方式/
1思虑为什么要进行收集架构扶植
是为领会决什么现实问题，网站被入侵，数据被盗，仍是因为等保合规需要，仍是多方面身分需要。
这个问题的谜底很是关头，决议了架构设计的规模、架构实施难度及当作等。

文章插图

2明白架构设计时遵循的原则
1、收集平安架构是办事于营业的。这是根基前提。万万不要为了搞平安，把营业给搞死了。没有绝对的平安，只有相对的平安。平安的素质其实是提高匹敌当作本。
2、分类分级原则；按照营业的特点及平安风险承受价格、营业联系水平来对营业进行分区划域。好比营业是否需要拜候外网，资产在等保中的主要性水平，资产在公司的价值凹凸等。

文章插图

3明白收集架构的平安法则
以DMZ区为例，法则如下：

1.内网可以拜候DMZ
【在互联网公司如何设计合理的网络安全架构】 此策略是为了便利内网用户利用和办理DMZ中的办事器。
2.外网可以拜候DMZ
DMZ中的办事器自己就是要给外界供给办事的，所以外网必需可以拜候DMZ 。同时，外网拜候DMZ需要由防火墙完当作对外埠址到办事器现实地址的转换。
3.DMZ不克不及拜候内网
很较着，若是违反此策略，则当入侵者攻下DMZ时，就可以进一步进攻到内网的主要数据。确实有需要，可以采用代办署理的体例。
4.DMZ不克不及拜候外网
此条策略也有破例，好比DMZ中放置邮件办事器时，就需要拜候外网，不然将不克不及正常工作。
5、默认禁止原则。除非有合法营业需要，白名单开通拜候，不然一律禁止拜候。