问:我们的企业在城市里有一主要的办事处,在距离主办事处约150英里远的地方有一个分支机构。我们需要非常安全的企业内部网络。传统的观点似乎是这样的:我们应该在主办事处配置一个单一的、带有防火墙的而且非常安全的因特网接入点。是否有不同的、更好一点的配置呢?如果考虑另一种配置,我应该注意哪些与安全有关的因素呢? 答:你所说的传统策略是一个常见的办法,它可以在一个接入点上小心的控制网络通信。
然而,它也带来一些弊端:首先,它使得网络延迟了(用户感觉明显),因为它强制所有的网络流量都要经过主办事处的网络;其次,它有单点故障的风险,如果主办事处与网络失去了连接,那么分支机构办事处的网络也同样会失效。这不……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我们的企业在城市里有一主要的办事处,在距离主办事处约150英里远的地方有一个分支机构。我们需要非常安全的企业内部网络。传统的观点似乎是这样的:我们应该在主办事处配置一个单一的、带有防火墙的而且非常安全的因特网接入点。是否有不同的、更好一点的配置呢?如果考虑另一种配置,我应该注意哪些与安全有关的因素呢?
答:你所说的传统策略是一个常见的办法,它可以在一个接入点上小心的控制网络通信。然而,它也带来一些弊端:首先,它使得网络延迟了(用户感觉明显),因为它强制所有的网络流量都要经过主办事处的网络;其次,它有单点故障的风险,如果主办事处与网络失去了连接,那么分支机构办事处的网络也同样会失效。这不是一个好的拓扑结构,尤其是当你把分支机构办事处网站作为主办事处潜在的备份网站的时候。
我建议在两个办事处都配置因特网连接,并用VPN技术建立两个办公室之间沟通的安全通道。还有,你需要在两个地方都设置同样的防火墙和内容过滤机制,这样做可以充分保障两边的网络不会出现上面所提到的缺陷。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
NSS实验室评估下一代防火墙
根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]
-
工业控制系统网络应防范“内鬼”
来自内部的安全威胁可能比很多外部攻击更强烈,更有破坏力。对于管理着关键基础架构和制造过程的工业控制系统网络来说,尤其如此……
-
转型中的深信服不只有安全,云和虚拟化占了半壁江山
深信服从2011年就已开始布局云和虚拟化领域。积累至今,云和虚拟化已发展成与安全业务平分秋色,再仅拿安全厂商来看待深信服显然已不合时宜了。
-
让IT更简单:深信服在京举办2016年大客户技术高峰论坛
6月18日,以“创新佳法,IT简法”为主题的深信服2016年大客户技术高峰论坛在北京国贸大酒店隆重举行。这是深信服第8年举办高峰技术论坛,会议吸引了来自全国各地的800多位CIO前来参与,共同探讨IT技术的新动向。