DAY10 LAN WAN DMZ - daniel-qa/Network GitHub Wiki

DAY10

前面的時間都用來介紹一下比較需要知道的相關知識,用以做為前導。 現在開始我捫要來談談一般企業的網路架構, 如下圖所示:

一般中小企業架構畫起來是不會很複雜的,複雜的都是裡面運作的一些服務,HA,叢集技術等等, 關於服務的部分我捫後面會在來說明,

就這張圖來看,我捫可以將網路架構拆成,WAN、DMZ、LAN端三個部分,

WAN端能夠很明確的看得出來是直接連接外部網路的地方,

LAN端也可以明確的知道是在企業內部,可能是公司內部使用所在的區段。 那比較多人會好奇的是DMZ在做甚麼,翻譯成中文教做非戰區 會有DMZ區存在是因為企業一定都會製作公司的企業形象網站(也就是官網)或者提供其他的網路服務 那這些服務會是要放在哪裡呢? LAN端 ? 這邊是企業內部的地方,你放在這邊好像不太對 將對外開放的伺服器放在LAN端也部是不行(只要你在機器上有設定好),但畢竟服務是對外開放的, 若是沒有良好的防護措施,網站可能會遭遇到些資安危機,屆時不只伺服器端受害,連LAN端的內部都跑不掉,所以通常不建議將伺服器放在LAN端。

WAN端 ? 放WAN端也是可以啊,只要你能保障你的服務可以在沒有任何硬體設備保護的情況下, 安穩的活著也不會受到資安威脅就行,我也看過真的有人直接靠伺服器上的軟體防火牆就提供服務的狀況,但站在網管的角度會非常不建議這麼做,一是危險二是你的伺服器除了提供服務外,還要幫你做封包的篩選過濾,這樣也太忙了吧,所以通常會不建議這樣做。 (有人用Windows 進階防火牆,也有人用netfilter 、Firewalld)

所以這時候就會需要一個不屬於LAN與WAN的空間,也就是我們的DMZ區段 這一類的區域我們會放置我們需要對外提供的服務,例如HTTP、HTTPS、FTP...等 放在這邊的服務一方面可以透過防火牆的防護,得到一點點安全的保障 另外若是伺服器端不小心遭遇甚麼情形,也不會直接影響到企業LAN端的運作情形。

而且將企業內部架構設計成這樣除了外部連線受限制這個好處之外 更能夠對企業內部連接伺服器的情形做個控管大家也知道有時候內部是最難防的, 當你將一切的對外防禦都做好時有人從內部給你發動攻擊,通常很容易被打的片甲不留,

其實有時候他們也不是故意要從內部發動攻擊,只是一些資安意識不足, 前些日子新聞都有在說台灣是亞太區的攻擊聖地,除了一般人對於資訊安全這一塊的意識不足之外, 大多企業都將一個人當多個人使用,也就是一個人可能要掌管公司內部所有架構包括網站撰寫 這種狀況是最為危險的,因為當局者迷旁觀者清,做的人通常不會發現自己建置的東西盲點在哪裡, 導致最後落入的一團迷霧之中,這些原因都是讓台灣變成攻擊聖地的原因, 所以,我們才會需要這一種的架構,也就是不管外部要連線到服務,或者企業內部希望連接到伺服器, 都需要透過防火牆火者其他資安設備的限制及認證才行。

今天大致上先談完這一類的架構模式,明天我們將踏入另外一個章節,也就是設備操作。

首先會帶來介紹cisco switch的簡易操作!!