技術領域

本發明涉及一種互聯網技術，尤其涉及一種互聯網網站安全架構系統。

背景技術

隨著互聯網技術的發展，越來越多的企業建立網站系統，實現企業內部網絡和互聯網的連接，一方面通過網站系統提供互聯網服務，一方面實現從企業內部網絡對網站系統的維護和數據更新。

在這種情況下，對網絡安全，特別是內部網絡的安全就變得非常重要了。

目前一般的網站系統平臺結構設備方案有如下幾種：

單防火墻構建DMZ區(如圖1)，即使用一個防火墻節點設備，構建DMZ區，提供互聯網服務；

雙防火墻，且外防火墻構建DMZ區(如圖2)，使用兩個防火墻節點設備背靠背配置，外防火墻構建DMZ區，提供互聯網服務。采用雙防火墻的一般網站系統實際結構見圖3，即通常采用內外防火墻背靠背方式建立，在外部防火墻設立DMZ區(停戰區，提供對外的互聯網服務)。

但是這些架構設計都沒有真正解決內部網絡和互聯網的安全隔離問題。雖然能夠通過防火墻節點阻斷內部網絡和互聯網的連接，但是由于內部網絡和互聯網仍然存在直接的物理連接，其邏輯阻斷必然存在不確定性，因此，內部網絡的安全防護仍然存在一定的隱患。

發明內容

本發明要解決的技術問題是提供一種互聯網網站安全架構系統，解決在網站系統平臺設計中建立高安全架構實現內部網絡的安全保護問題。

為解決上述技術問題，本發明的網站安全架構系統，包括外防火墻、內防火墻和至少一個放置于DMZ區的服務器，且外防火墻、內防火墻和放置于DMZ區的服務器通過串接形式進行連接；其中外防火墻用于劃分外部和DMZ區兩個區域，實施互聯網對DMZ區的訪問控制；內防火墻用于劃分DMZ區和內部兩個區域，實施DMZ區對內部的訪問控制；所述服務器用于提供互聯網服務。

本發明由于采用上述配置，可以切斷互聯網到內部網絡的直接的物理連接，既不會影響互聯網服務的提供，又保證了內部網絡的安全，也不會影響內部網絡對該服務器的維護和數據更新。

附圖說明

圖1是現有技術中采用單防火墻構建DMZ區的模型圖；

圖2是現有技術中采用雙防火墻且外防火墻構建DMZ區的模型圖；

圖3是本發明內外防火墻與服務器通過串接形式進行連接的模型圖；

圖4是本發明中放置于DMZ區的服務器結構模型圖；

圖5是現有技術中采用圖2的雙防火墻的網站系統結構示意圖

圖6是采用本發明的網站系統結構示意圖。

具體實施方式

下面結合附圖和具體實施例對本發明作進一步詳細的說明。

本發明為避免現有技術中由于路由器背靠背存在直接的物理連接鏈路而帶來的安全隱患，采取了內外防火墻與提供互聯網服務的各服務器通過串接形式進行連接的設計，其連接模型可參見圖3。如圖3所示，本發明的網站系統平臺架構實際上是通過兩個方面的處理，達到高安全性架構要求，即：

1、防火墻連接結構處理。

外防火墻用于劃分外部和DMZ區兩個區域，實施互聯網對DMZ區的訪問控制；內防火墻用戶劃分DMZ區和內部兩個區域，實施DMZ區對內部的訪問控制。

2、DMZ區服務器結構處理。

DMZ區放置服務器，用于向互聯網提供服務。這些服務器的連接具有特定要求，連接模型見圖4。如圖4所示的服務器的具有如下連接特點：以實現內部網絡和外部互聯網物理連接的不連續。為達到如上的目的服務器連接結構的配置要求包括：

1、需要向互聯網提供服務的服務器配置網卡1，連接外部網絡交換機；

2、需要通過內部網絡進行管理和數據更新的，配置網卡2，連接內部網絡交換機；

3、網卡1的配置按照標準配置進行，配置IP地址、子網掩碼、網關、DNS服務器等參數；

4、網卡2的配置需要注意不可配置網關參數，其他按照標準配置設置；

5、同時配置了網卡1和網卡2的服務器注意取消兩個網卡的路由設置，即不可以將網卡1和網卡2配置為路由模式；

6、在同時配置了網卡1和網卡2的服務器上，確定本服務器的內部管理設備地址，內部手工添加靜態路由參數。

在一個使用本發明方法的具體實施例中，采取了如下設置：

1、服務器網卡2的IP地址是192.168.1.1，

2、內防火墻與內部網絡交換機連接端口的IP地址為192.168.1.254，

3、內部管理設備IP是192.168.10.1。