網路環境描述:專案建設中有三家不同廠商合作,牽涉到三個業務系統的對接和網路防火牆策略的聯調。三個業務系統都在核心華為8508下接著,三個業務系統有彼此之間的業務互動,同時它們各自也有對外的資料介面和業務互聯訪問。
網路拓撲:
問題:在專案合作中制定防火牆策略時,各合作方如何避免重複和無效防火牆策略,保證業務之間的正確互動和相應的安全?以下是自己的幾點思考:
第一:系統平台架構確立
首先各合作廠商應該確定系統和平台架構。在專案開發過程中,架構設計是在需求規格說明書完成後介入的,需求規格說明書必須得到架構師的認可。架構師需要和分析人員反覆交流,以保證自己完整並準確地理解使用者需求。依據使用者需求,架構師將系統整體分解為更小的子系統和元件,從而形成不同的邏輯層或服務。隨後,架構師會確定各層的介面,層與層相互之間的關係。架構師不僅要對整個系統分層,進行「縱向」分解,還要對同一邏輯層分塊,進行「橫向」分解。 架構師通過對系統的一系列的分解,最終形成了軟體的整體架構。技術選擇主要取決於軟體架構。根據軟體架構來確立硬體選型和相應技術。比如伺服器型別、作業系統、負載均衡、快取設計、集群等等。
第二:業務流程梳理和伺服器功能角色定位
因為彼此之間的業務系統有互動,所以業務流程的梳理就很重要了。業務戰略決定業務流程,業務流程決定處理架構。流程梳理一定要有明確的目標,要和具體的業務緊密結合,比如某個處理模組就是要實現資料的抽取和整合,那麼從哪抽取在哪整合怎麼展現出來,這些就決定了資料的流程,也跟後面的防火牆策略制定息息相關。梳理流程是為了方便專案的開發,通過流程梳理可以更好的去解決客戶的問題和明確自己的目標。另外一些專案,單純做乙個流程梳理,尤其是上來就搞全面梳理,根本沒有想清楚梳理流程為什麼,這種專案基本上就是勞民傷財,顧問做的累,客戶也配合得累,整個專案沒有重點,到最後專案就是一團糟。業務流程明確後,模組也清晰後就可以定位伺服器的功能和角色了。每個伺服器或伺服器群具體承載什麼業務處理什麼資料以及和其他伺服器怎麼關聯,都可以進行比較準確的定位了,這些都會便於業務系統之間的互動和範圍界定。
第三:ip統籌規劃
在以上兩點確定後,接下面就可以進行整個系統和伺服器的ip規劃了。需要多少私有網段和位址以及需要申請多少公網位址,是否劃分vlan,是否做hsrp、vrrp和心跳等,網路裝置和伺服器的數量及裝置的管理位址等,這些都需要考慮到。是否需要動態分配還是全部靜態位址,是否需要做nat等,這些需要進行體系化編址同時要注意後續的可擴充套件性。體系化編址主要是根據業務的具體需求和流程處理結構為原則對整個網路位址進行有條理的規劃,使整個網路的結構清晰,路由資訊明確,當然也能減小路由表。
第四:防火牆策略的制定和優化
當以上條件都具備,我們就可以比較方便的進行各自業務系統的防火牆策略制定了。確立防火牆的內外區域和dmz區域,根據各伺服器的ip和業務埠再考慮彼此業務系統間的互動因素,我們就可以比較準確的設定防火牆策略,同時注意有些策略是單向的有些是雙向的,通過負載均衡實現的伺服器集群要注意虛位址的訪問和放行策略。當各業務系統的防火牆策略設定完成後,要進行業務的檢測和測試,並據此進行相應的優化和調整。
所有策略調整優化生效後,我們也不要指望防火牆策略能夠給予你足夠堅固的安全。防火牆能夠保護你免受從外部直接的***,但是卻不能防止從lan內部的***,它甚至不能保護你免受所有那些它能檢測到的***和未知的***。並且安全是多方面的,防火牆只是其中的乙個方面。正常情況下你可以通過很多安全措施來拒絕你所知道的必要和已知的和安全相關的任何危險和***。但是新的漏洞每天都出現,安全意味著永遠都是一場持久戰。
總結:多業務系統防火牆策略的制定和互動,是一項複雜的工作,它不僅需要你的細心更需要你在不斷調整中面對動態的安全。
多業務系統防火牆策略的制定和互動
網路環境描述 專案建設中有三家不同廠商合作,牽涉到三個業務系統的對接和網路防火牆策略的聯調。三個業務系統都在核心華為8508下接著,三個業務系統有彼此之間的業務互動,同時它們各自也有對外的資料介面和業務互聯訪問。網路拓撲 問題 在專案合作中制定防火牆策略時,各合作方如何避免重複和無效防火牆策略,保證...
防火牆和入侵檢測系統
從網路管理員的角度來看,世界可以很清楚地分為兩個陣營。一部分是好人,他們屬於機構網路,可以以相對不受限制的方式訪問該機構網路中的資源 另一部分是惡意攻擊者,必須經過仔細審查才能確定是否允許他們訪問網路資源。那麼這些安全工作,都是由防火牆 入侵檢測系統和入侵防止系統的執行裝置完成。防火牆是乙個硬體和軟...
Linux系統防火牆和優化
防火牆 開啟埠 如3306 firewall cmd zone public add port 3306 tcp permanent 重啟防火牆 systemctlrestart firewalld.service 停止防火牆 sudo systemctl stop firewalld.servic...