关于组网中服务器安全以及架构问题 100

要进行网络整体改造，同时增加WEB服务器，web服务器中要获取到内网OA服务器的数据。

现在我有两种种方案，如拓扑图，拓扑图上的设备基本都存在，但是对安全层面尤其是服务器安全层面不是很了解，问一下各位前辈，现在的方案的是否可行，有无弊端

我这里VPN的用途只是为了访问进入我内网OA服务器

双线路只用联通100M，电信20M为备份线路可忽略

WEB服务器可托管IDC

方案一（核心交换机与入侵检测灰色虚线和行为管理和入侵检测的蓝色线路选择犹豫中）

*******修改了一下方案一的拓扑图，这是完整拓扑*********

拓扑中，WEB访问流量以及VPN流量不经过外网核心，直接到服务器接入交换机中，行为管理至服务器接口手动限制流量，以免占用整个外网流量。

方案二（网闸右边是内网核心）

这就是我的两种考虑，请前辈指点一下方案的可行性，同时我还需要什么安全设备才能做到相对的安全

楼主你好 首先这两个方案设计得都很不错，我个人也比较认同方案一，首先VPN设备一般建议部署在内网区域，然后防火墙端口映射放通即可，这个的防护首先就加分，然后防火墙主备也比较合理，但是网闸设备放在那里我觉得不怎么合适，是为了要控制web服务器和OA服务器的访问吗？方案二的话采用双核心冗余数据中心，这样就比较压力分担，但是这样的组网也比较难管理，建议服务器业务都在一个区域。其实你咨询的这个问题的话，我觉得你可以咨询下当地某公司的市场同事，毕竟我感觉这有种要做等级保护的意思，分区域的隔离防护，做好数据安全！

楼主，根据你的需求。我大概画了一下拓扑。
1. 要对WEB服务器进行防护，同时要对OA取数据。
2.要对内网的上网行为进行管控。


1. 出口AF高可用部署。内网用两个核心做堆叠。实现冗余。
2. web服务器交换机直接接到出口AF上。AF可以实现IPS WAF 等全部安全防护需求。WEB和OA服务器之间再加一个AF。防止对外WEB服务器万一被黑。影响到OA的业务。 可以考虑在上一个数据库审计，旁路部署。
3.AC透明部署，对上网行为进行管控。
4. SSLvpn单臂部署到核心交换机上。
5. 无线网络单独接核心上。