防護網絡邊界

企業網絡安全防護體系一般都是按照安全域來進行設計的，而合理劃分安全域的基礎就是理順網絡邊界。網絡邊界是指內部安全網絡與外部非安全網絡的分界線，由于網絡中的泄密、病毒、攻擊等安全事件的發生主要是透過網絡邊界來進行，網絡邊界實際上是企業網絡安全的第一道防線，其重要性不言而喻，不少企業在網絡邊界安全防護方面投資巨大，購買各類安全設備進行層層防護，但是效果并不明顯，安全事件仍然時有發生，導致企業逐步陷入“投資陷阱”中，其實這種現象很可能是網絡邊界防護方案設計不合理造成的，下面本文將結合一個實際案例介紹企業網絡邊界防護方案。

某公司的網絡架構可抽象為三個安全域：Untrust域，Trust域 和 Usertrust域，其中Untrust域包含Internet區域，Trust域包含服務器區域，Usertrust域包含用戶區域，這三個安全域之間均有雙向的數據傳輸，如圖1所示。

圖1 某公司安全域示意圖

任意兩個安全域間均存在安全狀況不對等的情況，必須采取合理的邊界防護策略，防護策略必須覆蓋網絡層、傳輸層和應用層，根據安全域數據流向的不同，公司實施如下安全防護策略：

1.Untrust至 Trust：這個方向的數據流一般屬于外網用戶訪問發布在外網的應用系統的流量，由 于Untrust區域的可信程度最低，所以需對來自該區域的流量進行嚴格過濾，采取何種過濾措施還需結合具體業務來選擇。在網絡層面上，在兩個區域之間架設硬件防火墻，按照按需分配的原則進行NAT（網絡地址轉換）和PAT（端口地址轉換）設置，確保有需求的服務器和端口才能發布在外網，Trust區域內的其他服務器一律不得與Untrust區域通信；……