区、互联网前置区、互联网后台区组成。
互联网接入区
• 对外对接公网互联网,主要实现与公网互联网专线互联,并实现公网与内网地址的转
换功能。互联网接入区基于不同的业务功能一般分为办公互联网业务专线接入及生产
互联网业务专线接入。
互联网前置区
• 主要部署互联网应用前置服务器,并通过网络实现前置入访和出访的负载均衡及加解
密功能。互联网前置区通常会基于不同的业务功能或为满足监管隔离要求采用横向扩
展的方式分为办公互联网前置区、生产互联网前置区、电商互联网前置区、海外数据
中心前置区、托管云前置区、子公司互联网前置区等。
互联网后台区
• 主要部署互联网应用及数据库服务器,对外对接互联网前置区,对内对接后台其它业
务区域。
基于业务访问需求,互联网前置需要直接对互联网暴露服务提供给不同渠道的用户访问,是
安全防御的重中之重。为有效阻断来自互联网的 DDOS、扫描、CC、渗透、病毒等安全攻
击,有效保护前置和内网安全,通常会在互联网接入区和前置区串接或旁路部署各类安全设
备,如抗 DDos、应用层防火墙、IDS/IPS、APT、防病毒墙、WebSense 网关、SSL 加解
密、WAF 等,搭建相应的监测和安全可视化平台,结合传统的防火墙等构建串接+旁路的
纵深防御安全体系。
