网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

防火墙一般采用不同型号的两台作为主备避免防火墙的单点故障，有的公司使用型号相同的两台，也是可以的，比较省事，不用每一台都单独配置。一般同品牌型号的防火墙配置会自动同步，但是不同型号的防火墙一般不具有同步配置功能，需要单独配置，增加操作成本，不同型号安全性相对更加好一些。

SSL_VPN主要用于远程办公，供公司成员以及第三方合作商进行公司系统的管理和维护使用。使用SSLVPN一定要注意VPN账户的管理，现用现申请，用完即注销，坚决杜绝长时间使用同一账户和密码。

防火墙后面加一层IPS入侵防御系统作为防火墙补充，与防火墙一道对公司的内部系统、客户端等进行安全防御。如果IPS是串联接入，那么一般情况下是需要两台，每一台双链路双电源避免单点故障；如果是旁路接入的话，那么IPS则只具备IDS入侵检测的功能，对于可能的攻击威胁不做拒绝处理。同时，如果串联单节台的话，一定要选购的产品具备Bypass的功能，出现故障的时候不影响流量正常流转至下一节点。

IPS

IPS的策略管理也很重要，策略的科学完善程度决定着入侵防御的效果好坏，积极与厂商的安全专家沟通，不断根据实际情况优化改进安全策略，将入侵防御和检测功能发挥极致，确保内部系统和客户端的安全。

公司内部环境一般分三个区域：内网区域、DMZ区域、办公区域，每个区域根据实际业务情况划分不同的VLAN或是VXLAN进行管理。

内网核心交换

内网区域主要划分为数据库VLAN和应用VLAN，并在应用VLAN设有单独的日志服务器，其中应用VLAN根据不同公司的不同业务场景分为核心运行系统VLAN，如制造业的生产系统等；市场VLAN如官网、电商平台等；办公VLAN如OA、考试系统、培训系统等，以及其他VLAN，例如专门的数据分析VLAN区用于做大数据分析等相关。

内网VLAN的划分根据具体业务场景进行，单独数据库VLAN主要便于数据库权限控制和管理。日志服务器负责统一采集管理和分析各种系统的日志以便分析有用数据做经营指导、业务监控、系统审计等功能。

DMZ交换

DMZ区域主要用作部署反向代理、负载均衡和部署部分安全要求不高的应用。因为部署有反向代理和负载均衡所以一般Web请求都是先到达DMZ区域，然后反向代理至内网，故DMZ上部署WAF防火墙来防护Web系统免受攻击。

WAF部署同IPS，一般是主备两台双链路双电源，避免单点故障，单台情况下要求Bypass避免受影响。DMZ区域也部署单独的日志服务器用作日志采集和统一管理、分析。

WAF防火墙的使用与IPS亦类似，主要是防护策略的设置：设置简单起不到Web防火墙的功能，设置太复杂或是设置不准确有可能造成误杀，将本该正常的请求阻止。所以使用IPS和WAF时，一定要结合实际情况，进行安全策略的设置，以达到效果最优。

内网和DMZ区域一般部署公司的核心服务器，存储公司的核心系统、文件和数据等，所以除已有的安全设备外，还需要漏洞扫描定期扫描内部漏洞和风险，以便进行及时处理；堡垒机用于运维人员进行服务器登陆和操作；安全审计软件进行日常运维操作的审计等。

好的堡垒机或是安全审计软件可以阻止一些高危操作，如root进行rm –rf /*等类似高危操作。这俩区域作为公司内部环境的重要数据存储区，必须重点防护、定时检查、及时处理。

办公区域交换

办公区域主要是指公司的业务办公区域。办公区域一般会根据不同的楼层或是不同的部分划分不同的VLAN，并且办公区域部署防病毒服务器和WSUS升级服务器等，每一终端都部署防病毒，病毒库及时更新。

另外，为了规范管理人员上网，旁路部署上网行为管理对网络访问进行管控和分析，以企业达到员工科学、合理利用网络进行办公。

比较大点的企业会架设有企业安全感知平台或是企业安全大数据分析平台，将所有安全设备运行情况、日志等进行管理和分析作为企业安全管理和分析的入口，方便进行统一管理和运维工作。

安全架构根据不同的企业性质和业务场景也不尽相同，很多互联网企业购买的云主机更多依赖于云服务商提供的安全防范，如阿里云的云盾等；也有企业通过租赁IDC机房进行系统部署，更多依赖IDC自身的安全防护。