本章是概略區分一間企業應該有的架構,另外本章都是dia所畫出的簡圖,實際上的圖案應以貴公司的設備為準。另外細節會分章節來講
以下的時期是我自己分類的。
第一個時期(草創時期):
資訊部門剛發展時的架構,有一些pc及一些主機server,它們由Switch (或hub) 接在一起,
彼此互通。這個時期的最大缺點就是pc和主機位在同一區段,ip亂設或廣播封包太多都會一起影響。
第二個時期(連結交換時期):
後來電腦變多,加入了 核心伺服器(core Swtich):
跟switch比起來,core Swtich 擁有"路由"的功能,以及超快速的處理能力。
因為電腦變的更多,所以有了切網段(Vlan)的區分。
(只有網管型的Switch 才能切vlan)
下圖畫的很簡單,但實際上可能是台北-台中-高雄部門這麼多。
(預算充足的人還會有雙備援)
第三個時期(安全防護時期):
切網段(vlan)雖然減少廣播封包,但其實pc跟server 還是互通的,缺少了安全性。即pc可當跳板入侵server 。而且server通常是固定ip,如果是對外的更可以直接被攻擊。
所以新的防火牆發展了DMZ架構,對Server而言,企業內pc跟internet pc都視同不可信任的電腦。這個架構主要使用nat技術(假ip轉真ip),來隱藏server的真實ip,減少被攻擊的機會。
如下圖所示:把web網頁主機和資料庫分成2台主機後,只給web主機真實ip。這時候,駭客除非攻破web主機,否則根本無法知道DB主機在哪裡,進而大大增加安全度。
這個架構的缺點是主機越來越多,另外在fireWall防火牆裡,要多加很多條in,out,nat等設定。
預算充足的人還會添加防毒牆Security Gateway(如trend IGSA)
第四個時期(備援與監控時期):
通常一間企業電腦有上千台以後,便會加裝頻寬負載分配器,從一條對外的線,改成n條的對外線路,讓對外資料流平均分配各個線路,以加大整體的頻寬(實際上單台上網的速度並沒有變快)。而且因為每條線路的ip其實都不一樣,還必須實施multi-Homing的功能,讓頻寬負載器告知目前的server在哪一條線路。另外還可能必須將dmz區段移到頻寬負載器來,才能知道對外ip-對內ip之間的流量情形。工程算滿大的,故我把它當作一個時期。
預算充足的人,還會買頻寬流量監控器來統計流量的情形。裝在防火牆外部的,是用透通方式來統計對外流量;裝在core switch裡,則是透過net flow等技術收集intranet流量。
沒有留言:
張貼留言