问:我们的企业在这个城市有一个总部,在离总部大约150英里的地方有一个分公司。我们需要一个非常安全的内部网。传统观点似乎是这样的:我们应该在主办公室配置一个单一的、配备防火墙的、非常安全的互联网接入点。有不同的更好的配置吗?如果考虑另一种配置,需要注意哪些安全相关的因素?
答:您提到的传统策略是一种常见的方法,它可以在一个接入点仔细控制网络通信。但也带来了一些弊端:一是因为强制所有网络流量通过主办公网络,使得网络延迟(对用户来说是显而易见的);其次,它有单点故障的风险。如果总办事处失去了与网络的连接,分支办事处的网络也会出现故障。这不是一个好的拓扑,尤其是当您将分支机构网站用作主办公室的潜在备份网站时。
我建议两个办公室都配备互联网连接,并使用VPN技术建立两个办公室之间通信的安全通道。还有,你需要在两个地方设置相同的防火墙和内容过滤机制,可以充分保护两边的网络免受上述缺陷的影响。