专利名称:一种互联网网站安全架构系统的制作方法
技术领域:
本发明涉及一种互联网技术,尤其涉及一种互联网网站安全架构系统。
背景技术:
随着互联网技术的发展,越来越多的企业建立网站系统,实现企业内 部网络和互联网的连接, 一方面通过网站系统提供互联网服务, 一方面实 现从企业内部网络对网站系统的维护和数据更新。
在这种情况下,对网络安全,特别是内部网络的安全就变得非常重要了。
目前一般的网站系统平台结构设备方案有如下几种-
单防火墙构建DMZ区(如图l),即使用一个防火墙节点设备,构建 DMZ区,提供互联网服务;
双防火墙,且外防火墙构建DMZ区(如图2),使用两个防火墙节点 设备背靠背配置,外防火墙构建DMZ区,提供互联网服务。采用双防火墙 的一般网站系统实际结构见图3,即通常采用内外防火墙背靠背方式建 立,在外部防火墙设立DMZ区(停战区,提供对外的互联网服务)。
但是这些架构设计都没有真正解决内部网络和互联网的安全隔离问 题。虽然能够通过防火墙节点阻断内部网络和互联网的连接,但是由于内 部网络和互联网仍然存在直接的物理连接,其逻辑阻断必然存在不确定 性,因此,内部网络的安全防护仍然存在一定的隐患。
发明内容
本发明要解决的技术问题是提供一种互联网网站安全架构系统,解决 在网站系统平台设计中建立高安全架构实现内部网络的安全保护问题。
为解决上述技术问题,本发明的网站安全架构系统,包括外防火墙、
内防火墙和至少一个放置于DMZ区的服务器,且外防火墙、内防火墙和放 置于DMZ区的服务器通过串接形式进行连接;其中外防火墙用于划分外部 和DMZ区两个区域,实施互联网对DMZ区的访问控制;内防火墙用于划分 DMZ区和内部两个区域,实施DMZ区对内部的访问控制;所述服务器用于 提供互联网服务。
本发明由于采用上述配置,可以切断互联网到内部网络的直接的物理 连接,既不会影响互联网服务的提供,又保证了内部网络的安全,也不会 影响内部网络对该服务器的维护和数据更新。
图1是现有技术中采用单防火墙构建DMZ区的模型图2是现有技术中采用双防火墙且外防火墙构建DMZ区的模型图3是本发明内外防火墙与服务器通过串接形式进行连接的模型图4是本发明中放置于DMZ区的服务器结构模型图5是现有技术中采用图2的双防火墙的网站系统结构示意图
图6是采用本发明的网站系统结构示意图。
具体实施例方式
下面结合附图和具体实施例对本发明作进一步详细的说明。 本发明为避免现有技术中由于路由器背靠背存在直接的物理连接链 路而带来的安全隐患,采取了内外防火墙与提供互联网服务的各服务器通
过串接形式进行连接的设计,其连接模型可参见图3。如图3所示,本发 明的网站系统平台架构实际上是通过两个方面的处理,达到高安全性架构
要求,即
1、 防火墙连接结构处理。
外防火墙用于划分外部和DMZ区两个区域,实施互联网对DMZ区的访 问控制;内防火墙用户划分DMZ区和内部两个区域,实施DMZ区对内部的 访问控制。
2、 DMZ区服务器结构处理。
DMZ区放置服务器,用于向互联网提供服务。这些服务器的连接具有 特定要求,连接模型见图4。如图4所示的服务器的具有如下连接特点 以实现内部网络和外部互联网物理连接的不连续。为达到如上的目的服务 器连接结构的配置要求包括
1、 需要向互联网提供服务的服务器配置网卡1,连接外部网络交换
机;
2、 需要通过内部网络进行管理和数据更新的,配置网卡2,连接内 部网络交换机;
3、 网卡1的配置按照标准配置进行,配置IP地址、子网掩码、网关、 DNS服务器等参数;
4、 网卡2的配置需要注意不可配置网关参数,其他按照标准配置设
置;
5、 同时配置了网卡1和网卡2的服务器注意取消两个网卡的路由设
置,即不可以将网卡1和网卡2配置为路由模式;
6、在同时配置了网卡1和网卡2的服务器上,确定本服务器的内部
管理设备地址,内部手工添加静态路由参数。
在一个使用本发明方法的具体实施例中,采取了如下设置
1、 服务器网卡2的IP地址是192. 168. 1.1,
2、 内防火墙与内部网络交换机连接端口的IP地址为192. 168. 1. 254,
3、 内部管理设备IP是192. 168. 10. 1。
4、 需要添加的静态路由表指令为
Route -p ADD 192. 168. 10. 1 MASK 255. 255. 255. 0 192. 168. 1. 254 如图6所示,是采用本发明的网站系统结构示意图。如图所示,采用 本发明的网站结构避免了因为路由器背靠背存在的直接的物理连接链路, 解决了由此产生的信息安全隐患,同时也有效满足了一般网站系统的业务 需求。
综上所述,本发明提出的网站系统网络架构, 一方面保证了网站为互 联网提供服务,同时实现了内部网络对网站系统的管理和更新;另一方面 由于真正切断了内外之间的直接的物理连接,确保了内部网络的信息安 全。
权利要求
1、一种互联网网站安全架构系统,其特征在于,包括外防火墙、内防火墙和至少一个放置于DMZ区的服务器,且所述外防火墙、内防火墙和放置于DMZ区的服务器通过串接形式进行连接;其中所述外防火墙用于划分外部和DMZ区两个区域,实施互联网对DMZ区的访问控制;所述内防火墙用于划分DMZ区和内部两个区域,实施DMZ区对内部的访问控制;所述服务器用于提供互联网服务。
2、 根据权利要求l所述一种互联网网站安全架构系统,其特征在于, 所述服务器包括配置网卡l,以连接外部网络交换机向互联网提供服务且 所述网卡l的配置按照标准配置进行,配置IP地址、子网掩码、网关、DNS 服务器参数;配置网卡2,连接内部网络交换机以进行管理和数据更新,且 所述网卡2不配置网关参数,其他按照标准配置设置;并且所述网卡l和网 卡2配置为非路由模式;所述服务器应确定内部管理设备地址,手工添加静 态路由参数。
全文摘要
本发明公开了一种互联网网站安全架构系统,包括外防火墙、内防火墙和至少一个放置于DMZ区的服务器,且外防火墙、内防火墙和放置于DMZ区的服务器通过串接形式进行连接;其中外防火墙用于划分外部和DMZ区两个区域,实施互联网对DMZ区的访问控制;内防火墙用于划分DMZ区和内部两个区域,实施DMZ区对内部的访问控制;所述服务器用于提供互联网服务。本发明由于采用上述配置,可以切断互联网到内部网络的直接的物理连接,既不会影响互联网服务的提供,又保证了内部网络的安全,也不会影响内部网络对该服务器的维护和数据更新。
文档编号H04L29/06GK101110693SQ20061002900
公开日2008年1月23日 申请日期2006年7月17日 优先权日2006年7月17日
发明者飚 陆 申请人:上海华虹Nec电子有限公司