4.2. Архитектура корпоративной системы защиты информации

4.2. Архитектура корпоративной системы защиты информации

Основной задачей при создании защищенной инфраструктуры компании (см. рис. 4.1) является реализация надежного контроля доступа на уровне приложений и сети в целом. При этом логический контроль доступа на уровне сети осуществляется путем сегментации сетей и разграничения трафика с помощью межсетевых экранов. Созданы две раздельные подсети – одна для доступа извне к Web-приложениям и вторая для доступа сотрудников в Интернет. Этим обеспечивается полное разделение входящего из Интернета и исходящего в Интернет трафика. Многоуровневый подход с несколькими межсетевыми экранами обеспечивает фильтрацию всего нежелательного трафика.

В компании было создано несколько зон безопасности:

•  зона подключения к Интернету – эта зона представляет собой подсеть между пограничным маршрутизатором и внешними межсетевыми экранами. Пограничные маршрутизаторы используют списки контроля доступа (ACL), сконфигурированные для фильтрации входящего и исходящего трафика и защиты внешних межсетевых экранов;

•  зона доступа к Web-приложениям компании (Web Access DMZ)  – в этой подсети находятся Web-приложения компании и разрешены только входящие через межсетевой экран запросы из Интернета. Доступ из внутренней сети запрещен;

•  зона выхода в Интернет (Service DMZ)  – эта зона представляет собой подсеть, с помощью которой сотрудникам компании предоставляется доступ в Интернет. Разрешен только исходящий через межсетевой экран трафик, за исключением доступа к электронной почте с помощью VPN;

•  зона управления ресурсами сети компании (Management Network)  – в этой зоне находятся приложения для мониторинга, аутентификации и журналирования событий в сети компании;

•  зона защищаемых данных компании (Secure Data Network)  – эта зона содержит все важные для компании Web-приложения, базы данных и базу данных пользователей (Active Directory);

•  зона внутренней сети компании (Internal Network)  – зона содержит серверы, рабочие станции сотрудников и приложения интранета.

Данный текст является ознакомительным фрагментом.