目前有防火墙,全流量检测,态势感知,IDS,waf,web服务器等设备,如何搭建一个安全的内网环境,请给出大概拓扑结构是什么样的?
点击查看代码
[ 外部网络 ]
|
▼
[ 边界防火墙(NGFW) ] ← 部署入侵防御(IPS)、VPN网关
|
▼
[ 核心交换机(冗余) ] ← 旁路部署全流量检测(如网络流量探针)
├───[ DMZ区域 ]───────────
│ │
│ ├─[ WAF集群 ] ← 反向代理模式部署
│ │ │
│ │ ▼
│ ├─[ Web服务器集群 ] ← 对外业务系统(HTTP/HTTPS)
│ │
│ └─[ 数据库前置代理 ] ← 仅允许内网访问真实数据库
│
├───[ 内网区域 ]───────────
│ │
│ ├─[ 内网防火墙 ] ← 实现内部微隔离(VLAN/ACL)
│ │ │
│ │ ├─[ 应用服务器区 ] ← 部署IDS传感器
│ │ │
│ │ ├─[ 用户终端区 ] ← 部署EDR终端防护
│ │ │
│ │ └─[ 数据存储区 ] ← 加密存储、访问审计
│ │
│ └─[ 安全运维管理区 ] ← 独立VLAN,仅允许堡垒机接入
│ │
│ ├─[ 态势感知平台 ] ← 聚合全流量、EDR、防火墙日志
│ │
│ ├─[ SIEM日志中心 ] ← 关联分析告警
│ │
│ └─[ 堡垒机 ] ← 双因素认证,审计所有运维操作
│
└───[ 互联网接入区 ]────────
│
├─[ VPN网关 ] ← 零信任接入(如IPSec/SSL VPN)
│
└─[ 邮件/对外服务网关 ] ← 反垃圾邮件、DLP过滤
-
边界层(第一道防线):阻断外部攻击、过滤恶意流量
防火墙与IPS(华为USG、深信服AF、绿盟NF):
启用应用层过滤、IPS、DDoS防护,ACL最小化放行,仅开放必要端口。全流量检测(奇安信天眼,深信服SIP,启明星辰天阗,安恒明御APT,绿盟全流量威胁分析系统):
旁路镜像核心交换机流量,结合威胁情报和沙箱分析未知威胁。DDOS防护:
部署抗DDoS设备或使用云清洗服务,部署CDNVPN安全接入:(深信服SSL VPN、启明星辰VPN)
-
DMZ层(对外服务隔离区):保护暴露在公网的服务
WAF集群(安恒明御WAF、长亭雷池WAF):
部署在DMZ前端,防护SQL注入、XSS等Web攻击,支持动态CC防护。反向代理架构:
Web服务器不直接暴露,通过WAF反向代理隐藏真实IP。数据库隔离:
禁止外部直接访问数据库,部署数据库防火墙、数据库审计系统。微服务防护(灵雀云ACS、腾讯云TKE安全治理):
使用服务网络,容器安全平台。 -
内网层(纵深防御):防止横向移动、保护终端与数据
内网防火墙:
使用软件定义网络(SDN),划分业务子网(如开发、测试、生产),启用最小化访问策略。IDS/IPS传感器:
在内网关键链路部署,检测横向移动(如SMB爆破、异常RDP)。终端安全(奇安信天擎、深信服EDR):
强制EDR全覆盖,禁止未授权USB设备,启用内存攻击防护(如AMSI)。 -
安全管理层(监控与响应):集中监控、自动化响应与合规审计
态势感知平台(奇安信NGSOC、阿里云态势感知,绿盟NSP):
整合多源数据(NetFlow、EDR日志、WAF事件),生成攻击链视图。自动化响应(深信服SOC、安恒风暴中心):
通过SOAR平台联动防火墙、EDR实现自动封禁IP、隔离终端。日志聚合与分析(瀚思科技、日志易):
使用SIEM(安全信息与事件管理)堡垒机(齐治堡垒机):
集中管理运维权限,记录所有SSH/RDP会话录像,支持工单审批。 -
高级补充设计(增强防御):应对高级威胁、提升主动防御能力
流量诱捕(默安创宇、长亭谛听、微步Hfish):
在内网部署蜜罐(如Honeyd),诱捕横向渗透行为。网络加密(山石网科SSL解密):
内部通信强制TLS 1.3或IPSec,防止中间人攻击。硬件安全模块(HSM):
保护密钥和证书,避免内存提取攻击。零信任扩展(腾讯iOA、奇安信零信任):
软件定义边界(SDP)、持续身份验证
浙公网安备 33010602011771号