关于网络架构的一篇专业指南

网络体系结构定义了组织的信息资源如何在内部和外部进行通信。然而，一个组织的实际网络架构往往是通过自上而下的设计和自下而上的决策相结合而发展起来的。因此，网络架构往往会阻碍IT和安全团队。

我们的网络架构指南将帮助您了解公司在设计网络以处理现代复杂性时面临的问题。我们将回顾常见类型的网络架构，以及在当今IT环境中对这些架构施加的压力，并讨论现代网络设计中重要的架构决策。

什么是网络架构？

网络体系结构为数据流向、流出和在资源之间流动的方式设置了总体结构。在这种情况下，“资源”可以是文件服务器、客户关系管理系统或用户设备。设计网络架构需要考虑多个方面，包括：

（1）逻辑网络：逻辑网络是由一组策略建立的，这些策略定义了哪些资源可以相互连接、如何连接以及访问的任何条件。例如，制造系统可能仅限于托管网络上的托管设备。另一方面，邮件服务器可以由连接VPN的用户设备访问。

（2）物理网络：与逻辑结构不同的是在公司边界内传输数据并与互联网接口的硬件。该结构指导诸如何时对局域网进行分段以及何时无线LAN是合适的决策。

（2）性能、可靠性和效率标准：这些标准帮助IT专业人员设计支持业务目标的经济高效的网络。例如，关于延迟和带宽要求的明确指导，使他们能够在网络设计过程的早期解决VPN网关等瓶颈问题。

（3）安全和访问控制标准：网络体系结构平衡了用户所需的可访问性与保护专有信息和客户信息的需要。为了帮助实现这种平衡，网络体系结构可能要求所有访问控制投资都支持基于角色的访问。

（4）虚拟化：随着虚拟化的兴起，不再需要像路由器和防火墙这样的专用硬件设备。现在，物理网络设备可以被云中提供相同功能的虚拟设备和服务器上的软件所取代。公司的物理网络必须满足虚拟化网络体系结构的独特要求。

（5）软件即服务：公司正在放弃单片应用程序和本地许可的客户端软件，转而使用基于订阅的云服务。然而，这一决定会影响公司用户、专用网络和互联网之间的整合程度。

（6）远程访问：移动计算削弱了员工生产力取决于在办公室的观念。然而，扩大远程访问需要对网络和安全系统进行更改。

网络体系包含哪些类型？

组织有许多不同类型的网络可供选择。它们可以松散地分组为私有网络或基于互联网的网络。

（1）专用网络

您可以最大程度地控制专用网络，如本地局域网以及如何连接其他设施的网络。例如，您的网络架构可以指导评估电信公司的托管广域网服务、供应商的VPN技术或新兴的安全访问服务边缘（SASE）解决方案之间的交易空间。

然而，专用网络是有代价的。你通常必须自己管理它们。随着时间的推移，它们变得更加昂贵和难以管理。如果没有持续的警惕，你的网络可能会成为网络攻击的牺牲品。

（2）公共网络

基于互联网的服务正在改变商业运作方式。云服务可能比传统软件更有能力和性能。更好的是，供应商承担维护底层计算和网络系统的责任。

然而，行政管理费用可能会抵消其中的一些节省。例如，除非云服务与您的安全堆栈集成，否则您将管理并行访问控制系统。

（3）构建信任

网络架构设计的一个新方向是消除信任的遗留问题。典型的公司网络假设直接连接到这些网络的某些用户和设备比其他用户和设备更值得信赖。这就是为什么VPN等作为这些网络入口的常见技术已经成为网络攻击的载体。传统架构通过细分、深度防御和其他昂贵的措施来缓解这些弱点。

零信任网络接入（ZTNA）是一种更现代的网络架构方法。ZTNA不是保护一个可信的网络，而是单独保护每个资源。无论用户是谁、使用什么设备或连接方法，每次访问任何资源都需要身份验证和授权。

哪种类型的网络体系结构对您的组织有意义？

没有人会开发出完美的网络架构，而且架构需求会随着组织和技术的发展而变化。您所在组织的环境将决定您的最佳网络设计。您必须考虑的一些因素包括：

（1）商业阶段：与初创公司不同，老牌企业不能采取零负债的方式。网络体系结构必须考虑到遗留系统和业务流程。

（2）用户群：用户数量、员工和承包商的组合以及远程工作的程度都会深刻影响网络架构。

（3）法规：国防承包商和银行对数据安全有严格的要求。监管较少的行业仍必须考虑GDPR和其他数据保护规则。

为什么近年来网络架构面临压力？

传统的网络架构越来越多地受到个人设备和网络犯罪等趋势带来的压力。

（1）个人设备（BYOD）：这是2020年爆发的一个缓慢燃烧的趋势。员工必须使用家用电脑和网络来完成工作（或者只是觉得这样更方便）。大多数公司仍在处理BYOD系统带来的性能、生产力和安全问题。

（2）网络犯罪：犯罪分子用来渗透网络的工具同时更复杂，更容易使用。辛迪加租用勒索软件即服务和恶意软件即服务。高级参与者投资于零日漏洞。与此同时，员工仍然容易受到社会工程攻击。

这些趋势，再加上现代网络技术的复杂性，使得管理网络和保持这些网络的安全变得更加困难。

如何做好组织的网络结构体系建设？

您可以考虑以下步骤：

（1）确定需求：了解组织的业务需求和未来发展方向，并确定网络的规模、容量和性能要求。

（2）设计网络架构：根据需求设计网络的逻辑架构，包括网络拓扑、子网划分、路由协议选择等。

（3）选型与配置：选择适合组织需求的网络设备，如交换机、路由器、防火墙等，并进行正确的配置，确保设备之间的互联正常。

（4）安全策略：制定网络安全策略，包括访问控制、入侵检测与防御、数据加密等，以保护网络免受恶意攻击。

（5）性能优化：进行性能优化，包括带宽管理、负载均衡、QoS（服务质量）配置等，以提高网络的响应速度和稳定性。

（6）监控与管理：建立网络监控系统，实时监测网络设备的运行状态和性能指标，及时发现并解决问题。

（7）更新与升级：定期对网络设备进行更新与升级，以获取最新的功能和安全补丁。

（8）系统学习：参加网络架构规划与设备部署实战课程，以提升对网络结构体系建设的实际操作能力。通过参加这门课程，您可以学习如何正确评估组织的网络需求，设计合理的网络架构，选择适当的网络设备，并进行正确的配置和部署。此外，课程还将介绍如何制定网络安全策略、优化网络性能以及建立有效的监控与管理系统。通过获取实战经验和专业知识，您将更加熟悉并精通网络结构体系的建设过程，从而更好地满足组织的需求。