网络安全整体结构理解图(从设备、网络到账户与日志)
帮助理解:交换机、路由器、网关、防火墙、账号体系、日志监控分别位于哪里
互联网 /
外部访问者
员工远程办公
合作伙伴 / 第三方
分支机构
移动终端 / BYOD
边界 / 边缘安全区
(保护企业入口)
运营商 /
Internet
边界路由器
网关
(对外出入口)
防火墙
FW
VPN 网关
WAF
(Web 应用防火墙)
抗 DDoS /
流量清洗
邮件安全网关
这一层主要负责:
边界访问控制、
流量过滤、远程
接入保护
DMZ 隔离区
(对外服务区)
公网 Web 服务器
反向代理 /
负载均衡
API 网关
邮件服务器 /
对外服务
堡垒机
(运维入口)
对外服务放在
DMZ,避免
直接暴露内网
企业内网
(网络分层架构)
核心层
Core
汇聚层
Distribution
接入层
Access
核心交换机
(高性能三层交换)
汇聚交换机
(三层交换)
汇聚交换机
(三层交换)
接入交换机
(二层交换)
接入交换机
(二层交换)
接入交换机
(二层交换)
接入交换机
(二层交换)
无线 AP /
无线控制器
办公终端
打印机 / IoT
会议终端
交换机:
负责二层 / 三层转发,连接终端与网络
路由器:
负责不同网络 / 外网之间的路由
网关:
不同网络或协议的出入口,可理解为“通向别处的门”。
业务系统与数据中心 / 云
(业务与数据层)
AD / 域控 /
统一身份认证
DNS /
DHCP
OA / ERP /
CRM / Web 应用
文件服务器 /
NAS
数据库
MySQL / Oracle /
PostgreSQL
虚拟化平台 /
容器 /
Kubernetes
备份与灾备
公有云 / 私有云
资源
业务和数据
大多位于
这一层
终端与主机安全
(每个终端 / 主机都需要安全防护)
员工电脑 / 笔记本
服务器主机
移动设备
开发测试终端
杀毒 / 主机防护
EDR
终端检测与响应
补丁管理
磁盘加密
DLP
数据防泄漏
外有边界防护,内有网络分层;
账号管“谁能进”,权限管“能做啥”;
日志看“发生了什么”,SOC负责发现与响应。
页面会自动按窗口缩放;鼠标悬停或点击任意节点,会显示理解扩展和安恒产品关联。
节点说明
扩展展开