網絡和通信層安全架構

分層剖析安全架構，首先是網絡和通信層的安全技術體系架構。

網絡安全域。

網絡接入身份認證。

網絡接入授權。

網絡層訪問控制。

網絡層流量審計。

網絡層資產保護：DDoS緩解。

安全技術體系架構包括通用基礎設施、安全防御基礎設施、安全運維基礎設施、安全工具和技術、安全組件與支💞持系統等。

聚焦到網絡和通信層，通用基礎設施包括：

網絡安全域（或網絡分區）。

防火墻及配套的防火墻策略管理系統。

四層網關（可選），用于受控的任意協議的NAT轉發等用途。

防御基礎設施主要包括：

抗DDoS系統，用于緩解DDoS攻擊。

網絡準入控制（NAC），確保只有符合安全政策的設備在員工身份認證通過的情況下才能接入網絡。

其他方面還包括：

運維通道。

網絡流量審計。

提示這里沒有提網絡層IPS（入侵檢測系統），主要是由于HTTP𓆉S或加密傳輸的普及，那些基于明文協議工作的產品，使用范圍已大大🤡受限，因此就不再介紹了。

網絡安全域

企業的網絡架構涉及各個安全域以及安全域之間的訪問控制。

安全域是具有相同安全邊界的網絡分區，是由路由、交換機ACL（訪⭕問控制列表）、防火墻等封閉起來的一個邏輯上的區域，可以跨地域存在，這個區域內所有主機具有相同的安全等級，內部網絡自由可達。

各安全域之間的訪問控制，即網絡訪問控制策略，由于路由、꧒交換機ACL不會經常變更，所以網絡訪問控制策略管理的日常工作重點是防火墻策略管理。

讓我們先來看看安全域的數量與防火墻的關ඣ系。假設只有兩個安全域（A和B），訪問規則就比較簡單，只需要🔯2套規則集即可：從A到B，以及從B到A，如圖所示。

如果有三個安全域（A/B/C），訪問規則就變得復雜一些了，𒊎有A到B、A到C、B到A、B到C、C到A、C到B，需要6套規則集（3×(3-ꦐ1)），如圖所示。

以此類推，如果有n個安全域，則需要n×(n-1)套規則集；如果有15個安全域（實際上很多大型公司的安全域已經超過這個數了），則需要210套規則集，且每套規則集中包含大量的訪問關系，這對防火墻的運維管理來說ဣ，太復雜了，也需要消耗極大的人力成本來維護和管理這些規則。

顯然安全域不是越多越好，我們建議在滿足合規的要求下，安全域的數量越少越好。關于安全域的劃分，實際上每𓃲家公司都是不同的，下面列出典型的幾種供參考。

億聯云提供全球網絡優化服務、MPLS VPN、企業私有云&混合云搭建方案、云專線、SD-WAN、跨國視頻會議、跨境電商直播等相關應用場景，如有疑問，歡迎致電010-53390328！