本文背景:
最近有读者咨询《零信任安全技术详解与应用实践》第四章网关实现部署的相关知识点,遂补充完善提供。
本文关键知识点:
提供常见网关部署方案
提供连接器简介
多企业多云组网访问管理
1、常见业务区域部署网关部署在同个服务区(可看图快速略过)
常见机房或者数据中心入口前置。常见采用这种部署结构的实践,一般比较简化的把网关部署在业务之前,对外部网提供服务,对应网关就要暴露在公开的访问网络中、无论这是物理意义上的内部网络还是互联网公开网络,这就导致会面临着被扫描工具扫描到并可能进一步被入侵的风险,尤其是公网更加严重。一般要对应的网关服务做对应的加固和安全防护,入口设备流量安全要做对应的保护,常见抗D入口流量保护设备或者服务、流量入侵检测设备或服务,当然也有低成本的例如隐藏网关SPA(Single packet authorization,单包认证)等能力可以减少类似攻击,这种方成本更低,扩展部署网关也方便
图4-10 网关常见部署服务出口
2、网关部署在DMZ区通过连接器隔离业务区域和网关网络
图4-11 网关部署在隔离区
3、云接入和连接器单向连接器隔离方案
图4-12 云上网关部署
云和私有云或者专用的IDC,通过连接器借助只提供单向防火墙策略减少业务服务器区入侵风险。
这种部署体系结构,在网关之后增加一个连接器,网关和业务服务器区做网络防火墙的直接隔离,只提供服务器区建立连接访问网关的网络单向策略,从网关侧的网络不管是dmz还是公共互联网都无法直接建立链接访问业务服务器区。避免网关服务被快速突破,并访问到业务服务。
网关的的入口防御依然需要提供,不管DMZ区建设流量防护设备主机安全设备都是必须的,只不过如果是云部署的网关入口,则云提供对应的网关防护,相对DMZ建设的区域一般企业费用是会低一点。
4、连接器是什么
连接器原理也是比较简单,网关部分提供一策略路由,通过在网关建立统一的、路由上下文信息管理多个连接器和接入点、企业信息、和资源urlip的组合关系,进一步做访问的路由管理,对应的客户端人的访问流量,路由到对应的企业资源的连接器那边。
连接器部署在用户或者云的和业务服务区同个服务区域内。
只有从连接器发起网络TCP连接作为源地址,才能够过防火墙接入就近的云上机房融入到云上的路由网络。无法从外网和连接器建立连接。
该方案目的是为屏蔽从公网发起连接扫描,如对企业内网服务的直接连接,漏洞利用攻击等。
5、多企业多云组网访问管理
图4-13 多机房多云网关路由部方案
通过连接器安装到企业服务器区,连接器发起连接通道连接到网关路由服务,同时注册对应的企业机房-访问资源URL/IP信息。
终端发起访问,终端企业信息-访问目标URL,路由器通过企业机房和url/ip地址资源查询到的连接器,建立会话ID,流量访问路由到具体的连接器,具体的连接器在还原流量访问目标的服务器资源。
其他安全能力,要流量防护入口点、需要的一些安全加解密的流量的保护之类的就不细讲了。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...