【面试】请您描述一下您是如何做内、外网之间的安全网络隔离?请提供一个解决方案

以前面试的时候遇到过的一个面试题,我会选择按照先网络层面再到控制层面进行回答。

解决思路

  1. 设置防火墙,实现网络访问控制

这第一个肯定就是想到防火墙了,因为防火墙可以根据预设的规则对网络流量进行过滤,阻止未授权的流量进入内网。因此可以考虑:

  • 使用ACL进行严格的正向访问控制
  • 启用防火墙的入侵检测和阻断功能
  1. 使用VLAN进行逻辑隔离

第二个想到的就是通过 VLAN 来进行逻辑隔离,由于 VLAN是在物理网络的基础上,通过逻辑划分,将不同类型或不同安全级别的设备或用户隔离开来。VLAN可以通过交换机的VLAN功能来实现。

  • 分离外部访问网络和内部局域网
  • 禁止VLAN间非授权路由
  1. 部署NAT,隐藏内网IP地址

这第三个就是通过 NAT 将内网的私有IP地址转换为公网的IP地址,从而实现外网无法直接访问内网。

  1. 加强认证和加密机制

上面网络层面的已经基本完成配置,下面就是要加强访问控制了。这里可以通过 VPN 建立一个安全的隧道,将内网和外网连接起来,从而实现外网用户对内网资源的安全访问。

  • VPN、IPSec等技术保证安全访问
  • 访问控制均可被审计,确保授权访问
  1. 监控网络流量

最后就是监控网络流量,发现问题应及时调整安全策略。

  • IDS/IPS监测异常流量和攻击
  • 日志审计和管理

解决方案

如果要选择“一体成型”的解决方案的话,我会选用华为的解决方案(因为比较熟悉)

  1. 使用华为防火墙 USG6000V 来进行严格的访问控制策略设置;
  2. 部署华为 CloudEngine 交换机,利用 VXLAN 等技术进行内外网的逻辑隔离;
  3. 使用华为 HiSecEngine USG6500F-DL 系列 All-in-One 智能安全网关实现内外网资源的安全访问和加密传输;
  4. 在核心区域部署华为 USG6000V 防火墙中的 IPS 功能,进行入侵检测;
  5. 通过华为 eSight 网络空间分析系统进行流量分析,检测异常流量;
  6. 结合华为 AC 解决方案可以对用户和设备进行细粒度的访问控制,从而防止未授权的访问;
  7. 采用华为 DAS1500 系列数据库审计系统可以对数据库访问进行审计,并提供防护措施,从而防止数据库被攻击;
  8. 部署华为终端防护和应用安全解决方案,防止目标攻击的终端渗透;
  9. 使用华为私有云解决方案中的加密功能保护关键数据;
  10. 通过安全培训和业务连续性管理提高安全运营水平;

你可能感兴趣的:(杂谈,网络,面试,安全)