《零信任安全》网关部署场景和连接器组网（底部书籍抽奖）

本文背景：

最近有读者咨询《零信任安全技术详解与应用实践》第四章网关实现部署的相关知识点，遂补充完善提供。

本文关键知识点：

提供常见网关部署方案
提供连接器简介
多企业多云组网访问管理

1、常见业务区域部署网关部署在同个服务区（可看图快速略过）

常见机房或者数据中心入口前置。常见采用这种部署结构的实践，一般比较简化的把网关部署在业务之前，对外部网提供服务，对应网关就要暴露在公开的访问网络中、无论这是物理意义上的内部网络还是互联网公开网络，这就导致会面临着被扫描工具扫描到并可能进一步被入侵的风险，尤其是公网更加严重。一般要对应的网关服务做对应的加固和安全防护，入口设备流量安全要做对应的保护，常见抗D入口流量保护设备或者服务、流量入侵检测设备或服务，当然也有低成本的例如隐藏网关SPA(Single packet authorization，单包认证)等能力可以减少类似攻击，这种方成本更低，扩展部署网关也方便

图4-10 网关常见部署服务出口

2、网关部署在DMZ区通过连接器隔离业务区域和网关网络

图4-11 网关部署在隔离区

3、云接入和连接器单向连接器隔离方案

图4-12 云上网关部署

云和私有云或者专用的IDC，通过连接器借助只提供单向防火墙策略减少业务服务器区入侵风险。

这种部署体系结构，在网关之后增加一个连接器，网关和业务服务器区做网络防火墙的直接隔离，只提供服务器区建立连接访问网关的网络单向策略，从网关侧的网络不管是dmz还是公共互联网都无法直接建立链接访问业务服务器区。避免网关服务被快速突破，并访问到业务服务。

网关的的入口防御依然需要提供，不管DMZ区建设流量防护设备主机安全设备都是必须的，只不过如果是云部署的网关入口，则云提供对应的网关防护，相对DMZ建设的区域一般企业费用是会低一点。

4、连接器是什么

连接器原理也是比较简单，网关部分提供一策略路由，通过在网关建立统一的、路由上下文信息管理多个连接器和接入点、企业信息、和资源urlip的组合关系，进一步做访问的路由管理，对应的客户端人的访问流量，路由到对应的企业资源的连接器那边。

连接器部署在用户或者云的和业务服务区同个服务区域内。

只有从连接器发起网络TCP连接作为源地址，才能够过防火墙接入就近的云上机房融入到云上的路由网络。无法从外网和连接器建立连接。