Архитектура сети (межсетевой экран) для корпорации LARGE

Мне интересно, как многие из вас работают на компании LARGE, имеют сетевую архитектуру, которая обеспечивает использование трех отдельных брандмауэров для доступа к данным. Другими словами:

  • Разделение внешних (интерless) сторон и уровня представления брандмауэром
  • Разделение уровня представления и уровня приложения брандмауэром
  • Разделение приложения и уровня данных с помощью брандмауэра

Короче: Public-> Presentation-> Application-> Data (где каждая стрелка является брандмауэром)

Вот моя проблема: я работаю в очень большой американской компании (75K + сотрудников), где каждая среда, похоже, имеет разное количество брандмауэров сегментации. Мы хотели стандартизировать нашу архитектуру межсетевого экрана, но:

  1. Мы не можем find никаких реальных материалов для обоснования необходимости использования трех брандмауэров (в отличие от, скажем, всего лишь одного межсетевого экрана периметра)
  2. Мы не можем квалифицировать добавление стоимости трех уровней брандмауэров.
  3. Мы не можем разобраться, должна ли это быть architecture для приложений, ориентированных только на Интерless, или для ВСЕХ приложений / устройств / устройств.

Любой совет?

Это зависит от того, какие услуги вы предлагаете за пределами вашей сети, а также от того, какая security вам нужна перед keyевыми услугами. Если у вас есть website электронной коммерции, который связан с бэкэнд базы данных и обрабатывает кредитные maps, я мог бы легко уviewеть три уровня брандмауэров, необходимых (чтобы соответствовать требованиям PCI, если ничего другого). Однако, если вы предлагаете простой static контент через заблокированные веб-serverы, это может быть так же просто, как один набор брандмауэров с внешним interfaceом, внутри и dmz.

Возможно, некоторые подробности о вашей настройке? У http://www.sans.org есть несколько отличных документов, объясняющих глубину защиты.

  • Архитектура планирования решений с высокой вероятностью Exchange 2010
  • Разработка веб-приложений в случае нескольких под-приложений
  • Domino to Exchange 2007 (или 2010) Проблемы проектирования?
  • Создание сети Linux для нашей компании - с чего начать?
  • «Полный доступ» против «только веб-доступа» к сети
  • как я могу представить сетевую диаграмму здания, имеющего 3 этажа
  • get шаблон шаблона шеф-повара из шаблона
  • Настройка сети (есть ли штраф за наличие нескольких коммутаторов)
  • Сеть PPTP для локальной сети serverа?
  • эквивалентно CDN, но для динамического контента?
  • Каковы некоторые хорошие ресурсы по масштабируемому сетевому designу?
  • Interesting Posts

    Адрес отправителя отклонен (запись mx не найдена)

    После перехода на SSL index.php исправление сообщения ожидается до requestов serverа

    Маршруты мониторинга, перелеты

    Обратный туннель SSH терпит неудачу из-за множественных соединений и перезагрузки ssh

    Предоставляет ли бесплатный инструментарий для оценки и планирования Microsoft (MAP) любую конфигурацию serverов, которые он тестирует?

    Кто-нибудь может рекомендовать службу мониторинга веб-websiteа?

    Netscreen VPN UP / DOWN из-за контроля источника сигнала обратной связи

    Заблокировано без serverа Windows Server 2008, по ошибке переkeyение Network Discovery в выkeyенное

    Не удалось установить Samba после удаления?

    RDP Clipboard Передача fileов в Windows Server 2008 R2

    Как вы автоматически устанавливаете мариоlessочные модули на «мариоlessку»?

    Есть ли способ проверить удаление fileов в Solaris?

    Обновление Sharepoint 2007 MySites layout и веб-части для уже развернутых MySites

    Может ли Squid 2.7 proxy использовать gzip-контент

    неудачный request из directoryа directoryов

    Давайте будем гением компьютера.