Назад | Перейти на главную страницу

Сетевая архитектура (межсетевой экран) для БОЛЬШОЙ корпорации

Мне интересно, сколько из вас, кто работает в КРУПНЫХ компаниях, имеют сетевую архитектуру, которая требует использования трех отдельных брандмауэров для доступа к данным. Другими словами:

Вкратце: Public-> Presentation-> Application-> Data (где каждая стрелка - это брандмауэр)

Вот моя проблема: я работаю в очень крупной американской компании (более 75 тыс. Сотрудников), где каждая среда имеет разное количество межсетевых экранов сегментации. Мы хотели стандартизировать нашу архитектуру межсетевого экрана, но:

  1. Мы не можем найти никаких реальных материалов, оправдывающих необходимость в трех межсетевых экранах (в отличие, скажем, от одного межсетевого экрана по периметру).
  2. Мы не можем квалифицировать добавленную стоимость трех уровней межсетевых экранов.
  3. Мы не можем разобраться, должна ли это быть архитектура только для приложений с выходом в Интернет или для ВСЕХ приложений / устройств / оборудования.

Любой совет?

Это зависит от того, какие услуги вы предлагаете за пределами своей сети, а также от того, какой уровень безопасности вам нужен перед ключевыми услугами. Если у вас есть сайт электронной коммерции, который связан с серверной частью базы данных и обрабатывает кредитные карты, я мог бы легко увидеть, что требуются три уровня межсетевых экранов (чтобы соответствовать требованиям PCI, если ничто иное). Однако, если вы предлагаете простой статический контент через заблокированные веб-серверы, это может быть так же просто, как единый набор брандмауэров с внешним, внутренним и dmz-интерфейсом.

Может быть, еще немного подробностей о вашей настройке? http://www.sans.org содержит отличные документы, объясняющие глубокоэшелонированную защиту.