CN101110693A - 一种互联网网站安全架构系统 - Google Patents
一种互联网网站安全架构系统 Download PDFInfo
- Publication number
- CN101110693A CN101110693A CNA2006100290029A CN200610029002A CN101110693A CN 101110693 A CN101110693 A CN 101110693A CN A2006100290029 A CNA2006100290029 A CN A2006100290029A CN 200610029002 A CN200610029002 A CN 200610029002A CN 101110693 A CN101110693 A CN 101110693A
- Authority
- CN
- China
- Prior art keywords
- server
- internet
- dmz
- fire compartment
- compartment wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种互联网网站安全架构系统,包括外防火墙、内防火墙和至少一个放置于DMZ区的服务器,且外防火墙、内防火墙和放置于DMZ区的服务器通过串接形式进行连接;其中外防火墙用于划分外部和DMZ区两个区域,实施互联网对DMZ区的访问控制;内防火墙用于划分DMZ区和内部两个区域,实施DMZ区对内部的访问控制;所述服务器用于提供互联网服务。本发明由于采用上述配置,可以切断互联网到内部网络的直接的物理连接,既不会影响互联网服务的提供,又保证了内部网络的安全,也不会影响内部网络对该服务器的维护和数据更新。
Description
技术领域
本发明涉及一种互联网技术,尤其涉及一种互联网网站安全架构系统。
背景技术
随着互联网技术的发展,越来越多的企业建立网站系统,实现企业内部网络和互联网的连接,一方面通过网站系统提供互联网服务,一方面实现从企业内部网络对网站系统的维护和数据更新。
在这种情况下,对网络安全,特别是内部网络的安全就变得非常重要了。
目前一般的网站系统平台结构设备方案有如下几种:
单防火墙构建DMZ区(如图1),即使用一个防火墙节点设备,构建DMZ区,提供互联网服务;
双防火墙,且外防火墙构建DMZ区(如图2),使用两个防火墙节点设备背靠背配置,外防火墙构建DMZ区,提供互联网服务。采用双防火墙的一般网站系统实际结构见图3,即通常采用内外防火墙背靠背方式建立,在外部防火墙设立DMZ区(停战区,提供对外的互联网服务)。
但是这些架构设计都没有真正解决内部网络和互联网的安全隔离问题。虽然能够通过防火墙节点阻断内部网络和互联网的连接,但是由于内部网络和互联网仍然存在直接的物理连接,其逻辑阻断必然存在不确定性,因此,内部网络的安全防护仍然存在一定的隐患。
发明内容
本发明要解决的技术问题是提供一种互联网网站安全架构系统,解决在网站系统平台设计中建立高安全架构实现内部网络的安全保护问题。
为解决上述技术问题,本发明的网站安全架构系统,包括外防火墙、内防火墙和至少一个放置于DMZ区的服务器,且外防火墙、内防火墙和放置于DMZ区的服务器通过串接形式进行连接;其中外防火墙用于划分外部和DMZ区两个区域,实施互联网对DMZ区的访问控制;内防火墙用于划分DMZ区和内部两个区域,实施DMZ区对内部的访问控制;所述服务器用于提供互联网服务。
本发明由于采用上述配置,可以切断互联网到内部网络的直接的物理连接,既不会影响互联网服务的提供,又保证了内部网络的安全,也不会影响内部网络对该服务器的维护和数据更新。
附图说明
图1是现有技术中采用单防火墙构建DMZ区的模型图;
图2是现有技术中采用双防火墙且外防火墙构建DMZ区的模型图;
图3是本发明内外防火墙与服务器通过串接形式进行连接的模型图;
图4是本发明中放置于DMZ区的服务器结构模型图;
图5是现有技术中采用图2的双防火墙的网站系统结构示意图
图6是采用本发明的网站系统结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细的说明。
本发明为避免现有技术中由于路由器背靠背存在直接的物理连接链路而带来的安全隐患,采取了内外防火墙与提供互联网服务的各服务器通过串接形式进行连接的设计,其连接模型可参见图3。如图3所示,本发明的网站系统平台架构实际上是通过两个方面的处理,达到高安全性架构要求,即:
1、防火墙连接结构处理。
外防火墙用于划分外部和DMZ区两个区域,实施互联网对DMZ区的访问控制;内防火墙用户划分DMZ区和内部两个区域,实施DMZ区对内部的访问控制。
2、DMZ区服务器结构处理。
DMZ区放置服务器,用于向互联网提供服务。这些服务器的连接具有特定要求,连接模型见图4。如图4所示的服务器的具有如下连接特点:以实现内部网络和外部互联网物理连接的不连续。为达到如上的目的服务器连接结构的配置要求包括:
1、需要向互联网提供服务的服务器配置网卡1,连接外部网络交换机;
2、需要通过内部网络进行管理和数据更新的,配置网卡2,连接内部网络交换机;
3、网卡1的配置按照标准配置进行,配置IP地址、子网掩码、网关、DNS服务器等参数;
4、网卡2的配置需要注意不可配置网关参数,其他按照标准配置设置;
5、同时配置了网卡1和网卡2的服务器注意取消两个网卡的路由设置,即不可以将网卡1和网卡2配置为路由模式;
6、在同时配置了网卡1和网卡2的服务器上,确定本服务器的内部管理设备地址,内部手工添加静态路由参数。
在一个使用本发明方法的具体实施例中,采取了如下设置:
1、服务器网卡2的IP地址是192.168.1.1,
2、内防火墙与内部网络交换机连接端口的IP地址为192.168.1.254,
3、内部管理设备IP是192.168.10.1。
4、需要添加的静态路由表指令为:
Route-p ADD 192.168.10.1 MASK 255.255.255.0 192.168.1.254
如图6所示,是采用本发明的网站系统结构示意图。如图所示,采用本发明的网站结构避免了因为路由器背靠背存在的直接的物理连接链路,解决了由此产生的信息安全隐患,同时也有效满足了一般网站系统的业务需求。
综上所述,本发明提出的网站系统网络架构,一方面保证了网站为互联网提供服务,同时实现了内部网络对网站系统的管理和更新;另一方面由于真正切断了内外之间的直接的物理连接,确保了内部网络的信息安全。
Claims (2)
1.一种互联网网站安全架构系统,其特征在于,包括外防火墙、内防火墙和至少一个放置于DMZ区的服务器,且所述外防火墙、内防火墙和放置于DMZ区的服务器通过串接形式进行连接;其中所述外防火墙用于划分外部和DMZ区两个区域,实施互联网对DMZ区的访问控制;所述内防火墙用于划分DMZ区和内部两个区域,实施DMZ区对内部的访问控制;所述服务器用于提供互联网服务。
2.根据权利要求1所述一种互联网网站安全架构系统,其特征在于,所述服务器包括:配置网卡1,以连接外部网络交换机向互联网提供服务且所述网卡1的配置按照标准配置进行,配置IP地址、子网掩码、网关、DNS服务器参数;配置网卡2,连接内部网络交换机以进行管理和数据更新,且所述网卡2不配置网关参数,其他按照标准配置设置;并且所述网卡1和网卡2配置为非路由模式;所述服务器应确定内部管理设备地址,手工添加静态路由参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100290029A CN101110693A (zh) | 2006-07-17 | 2006-07-17 | 一种互联网网站安全架构系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100290029A CN101110693A (zh) | 2006-07-17 | 2006-07-17 | 一种互联网网站安全架构系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101110693A true CN101110693A (zh) | 2008-01-23 |
Family
ID=39042600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006100290029A Pending CN101110693A (zh) | 2006-07-17 | 2006-07-17 | 一种互联网网站安全架构系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101110693A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102130803A (zh) * | 2010-10-22 | 2011-07-20 | 新兴铸管股份有限公司 | 一种局域网网站安全架构系统 |
| CN103905413A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团北京有限公司 | 一种核心网信令传输方法及系统 |
| CN104412558A (zh) * | 2012-02-19 | 2015-03-11 | 埃米尔·密扎尔 | 用于确保前端应用和其它应用安全的反向接入方法 |
| CN104978624A (zh) * | 2014-04-10 | 2015-10-14 | 横河电机株式会社 | 工程方法以及构建系统 |
| CN107659582A (zh) * | 2017-10-27 | 2018-02-02 | 李刚 | 一种有效应对apt攻击的纵深防御系统 |
-
2006
- 2006-07-17 CN CNA2006100290029A patent/CN101110693A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102130803A (zh) * | 2010-10-22 | 2011-07-20 | 新兴铸管股份有限公司 | 一种局域网网站安全架构系统 |
| CN104412558A (zh) * | 2012-02-19 | 2015-03-11 | 埃米尔·密扎尔 | 用于确保前端应用和其它应用安全的反向接入方法 |
| CN104412558B (zh) * | 2012-02-19 | 2019-01-29 | 安全科技数据有限公司 | 用于确保前端应用和其它应用安全的反向接入方法 |
| CN103905413A (zh) * | 2012-12-28 | 2014-07-02 | 中国移动通信集团北京有限公司 | 一种核心网信令传输方法及系统 |
| CN103905413B (zh) * | 2012-12-28 | 2017-05-03 | 中国移动通信集团北京有限公司 | 一种核心网信令传输方法及系统 |
| CN104978624A (zh) * | 2014-04-10 | 2015-10-14 | 横河电机株式会社 | 工程方法以及构建系统 |
| CN104978624B (zh) * | 2014-04-10 | 2020-04-03 | 横河电机株式会社 | 工程方法以及构建系统 |
| CN107659582A (zh) * | 2017-10-27 | 2018-02-02 | 李刚 | 一种有效应对apt攻击的纵深防御系统 |
| CN107659582B (zh) * | 2017-10-27 | 2023-08-08 | 李刚 | 一种有效应对apt攻击的纵深防御系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102710669B (zh) | 一种防火墙策略控制的方法及装置 | |
| CN104506513B (zh) | 防火墙流表备份方法、防火墙及防火墙系统 | |
| CN101022328B (zh) | 一种实现冗余网关路径开销动态调整的方法及网关设备 | |
| CN1874223B (zh) | 实现网络设备mac和ip绑定的接入控制方法 | |
| CN105391628B (zh) | 数据传送系统及数据传送方法 | |
| CN103200094A (zh) | 一种实现网关动态负载分配的方法 | |
| CN101110693A (zh) | 一种互联网网站安全架构系统 | |
| CN112272145B (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 | |
| JP2007104350A (ja) | ネットワーク管理装置およびネットワークシステム | |
| CN105939267B (zh) | 带外管理方法及装置 | |
| CN101562576B (zh) | 一种路由发布方法和设备 | |
| CN108900549A (zh) | 一种安全的区块链组网技术 | |
| CN102891903B (zh) | 一种nat转换方法及设备 | |
| CN102916897A (zh) | 一种实现vrrp负载分担的方法和设备 | |
| CN101442429B (zh) | 一种实现业务系统容灾的方法及系统 | |
| CN104115473B (zh) | 网络网关及其测试方法 | |
| CN104702591A (zh) | 一种基于端口转发复用技术穿透防火墙的方法和系统 | |
| CN101926126B (zh) | 用于提供缺省路由通告保护的方法和系统 | |
| US10003575B2 (en) | Network management system | |
| CN101325588A (zh) | 一种网络设备防攻击的方法以及网络设备 | |
| CN102130803A (zh) | 一种局域网网站安全架构系统 | |
| CN101692654A (zh) | 一种HUB-Spoken组网的方法、系统及设备 | |
| CN106059803A (zh) | 一种在计算节点上实现虚拟机南北向通信的方法 | |
| CN103036757B (zh) | 一种网络架构及其配置方法 | |
| KR101703491B1 (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080123 |