公司有一个网站群的业务,应用规模比较大,目前计划是从传统的虚拟机部署方式迁移到内部的私有云。 这种迁移的动作是一个很好的学习机会。在交流的时候的时候,领导有提到现有
公司有一个网站群的业务,应用规模比较大,目前计划是从传统的虚拟机部署方式迁移到内部的私有云。
这种迁移的动作是一个很好的学习机会。在交流的时候的时候,领导有提到现有的架构基本上是参照中国人民银行发布的《网上银行系统信息安全通用规范2012版》中的网络防护架构来设计的。于是我找到了原文进行学习。
在附录A和附录B,文档提供了基本的和增强的网络防护架构参考图。
因为目前运维的应用不是web类的,因此对这个网络防护架构图进行了研究。
其中,DMZ区的概念不是很清楚,经过搜索了解到这其实是防火墙的知识点。
关于DMZ的原理不解? - 知乎 (zhihu.com)
这篇回答介绍了防火墙的五种过滤规则,两种分类,以及三种部署形式。
DMZ原理与应用 - kosamino - 自由互联 (cnblogs.com)
这篇文章介绍了防火墙的三个区域,DMZ的基本概念,以及DMZ区需要配置的六类访问策略。
简单来说,当我们需要提供一些服务让用户能够从互联网访问时,这个场景增加了安全风险,让内部网络可能更容易受到攻击。
因此,DMZ这一防火墙解决方案可以帮我们降低内部网络的安全风险。
最后,在更新的2020版《网上银行系统信息安全通用规范》中,这两部分附录的架构图被删去了,仅供学习参考吧。