生產環境三層架構培訓總結

生產環境運維（網路，應用，資料庫，安全），干係人相關職責、vpn 網路架構，生環境三層架構，應用運維（應用運維，儲存運維，應用監控），內網應用與網際網路應用分類、應用首次流程，上線變更規範。

三層：dmz區，app區，data 區

dmz區：位址轉換，安全規則

1 位址轉換

dmz區伺服器與內網區、外網區的通訊是經過網路位址轉換（nat）實現的。網路位址轉換用於將乙個位址域（如專用internet）對映到另乙個位址域（如internet），以達到隱藏專用網路的目的。dmz區伺服器對內服務時對映成內網位址，對外服務時對映成外網位址。

採用靜態對映配置網路位址轉換時，服務用ip和真實ip要一一對映，源位址轉換和目的位址轉換都必須要有。

2 dmz安全規則制定

安全規則集是安全策略的技術實現，乙個可靠、高效的安全規則集是實現乙個成功、安全的防火牆的非常關鍵的一步。如果防火牆規則集配置錯誤，再好的防火牆也只是擺設。在建立規則集時必須注意規則次序，因為防火牆大多以順序方式檢查資訊包，同樣的規則，以不同的次序放置，可能會完全改變防火牆的運轉情況。

如果資訊包經過每一條規則而沒有發現匹配，這個資訊包便會被拒絕。一般來說，通常的順序是，較特殊的規則在前，較普通的規則在後，防止在找到乙個特殊規則之前乙個普通規則便被匹配，避免防火牆被配置錯誤。

dmz安全規則指定了非軍事區內的某一主機（ip位址）對應的安全策略。由於dmz區內放置的伺服器主機將提供公共服務，其位址是公開的，可以被外部網的使用者訪問，所以正確設定dmz區安全規則對保證網路安全是十分重要的。