本節書摘來自異步社區《網絡安全原理與實踐》一書中的第2章，第2.1節，作者 【美】Saadat Malik, CCIE #4955，更多章節內容可以訪問云棲社區“異步社區”公眾號查看

2.1 安全區介紹

網絡安全原理與實踐
雖然不同網絡設備中可用的安全特性在抵制網絡攻擊中起到了重要的作用，但事實上對網絡攻擊最好的防御方法之一是網絡的安全拓撲設計。關注安全的網絡拓撲設計對阻止網絡攻擊大有幫助，并且能使不同設備的安全特性得到最有效的使用。

在現代安全網絡設計中用到的最關鍵的思想之一是用區去隔離開網絡上的不同區域。置于不同區中的設備具有不同的安全需求，而區基于這些需求提供保護。況且，一些設備（例如Web服務器）所擔負的任務使它們特別容易受到網絡攻擊，并且更難于保護。因而，用安全性較低的區將這些設備與包含更敏感和不易受攻擊設備的區隔離開來，這在整體的網絡安全方案中占有關鍵的地位。

分區也使得網絡更具擴展性，從而使其更加穩定。穩定性（stability）是安全的基石之一。一個比其他網絡更穩定的網絡，在遭受針對網絡帶寬等資源的攻擊的時候也會更加安全。

創建區域的基本策略如下。

具有最大安全需求（私有網絡）的設備在網絡的最安全區中。通常這個區只允許很少或者不允許來自公共網絡和其他網絡的訪問。訪問通常使用防火墻或者其他安全部件控制，比如安全遠程訪問（SRA）。這個區中經常需要有嚴格的認證和授權。
僅需在內部訪問的服務器要置于一個單獨的專用安全區中。使用防火墻控制對這些設備的訪問。對這些服務器的訪問經常是受到嚴密監控和記錄的。
需要從公共網絡上訪問的服務器，置于一個不允許訪問網絡中更安全的區的隔離區之中。萬一這些服務器中的一個被攻陷1，這樣做可以避免危及其他區域的網絡。另外，如果可能，這些服務器中的每一個也同其他服務器隔離開來，這樣如果其中的一個服務器被攻陷時，其他的服務器也不會受到攻擊。每個服務器或者每種類型服務器的隔離區按照最安全的類型配置。這意味著一個Web服務器，通過將其置入一個同FTP服務器完全隔離的區中，從而與FTP服務器完全隔離開來。用這種方法，如果這個Web服務器被攻陷，FTP服務器被攻擊者訪問的機會和攻擊者利用從該Web服務器獲得權限而對FTP服務器造成危害的可能性都有限（這種隔離也可以在Cisco 6509交換機中使用私有VLAN來完成）。這種區被稱作DMZ，使用防火墻來控制對它們的進出訪問。
用這種方法分區，分層的防火墻可以置于通向網絡中最敏感或者最易受攻擊部分的路徑中。這可以避免因在一個防火墻中的配置錯誤而導致私有網絡遭受攻擊。許多有安全需求的大型網絡在網絡層中使用不同類型的防火墻，以阻止因防火墻軟件中的漏洞（bug）而使網絡受損。一前一后使用一個PIX防火墻和一個代理服務器就是這樣的一個例子。這有時也叫做深層防御原則。
1譯者注：這里被攻陷是指某臺服務器被攻擊者控制。劃分安全區域可以避免攻擊者將被遠程控制的服務器當作跳板去入侵網絡中的其他設備。

總結

以上是生活随笔為你收集整理的《网络安全原理与实践》一2.1 安全区介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。