Netwerkinfrastructuurmodel
Werk in uitvoering
Verzameling van functionele diensten die de netwerkinfrastructuur van een organisatie aanbiedt en die essentieel zijn voor het faciliteren van netwerkconnectiviteit.
| Onderwerp | Definitie |
|---|---|
| Beveiligingsdiensten | Diensten die de data-informatiestromen over de netwerkinfrastructuur bewaken en aan de hand van de ICT-beveiligingsregels beoordelen of deze worden toegestaan, danwel ingrijpen, blokkeren en/of signaleren bij overtreding van de beveiligingsregel. |
| Netwerkadresseringsdiensten | Netwerkinfrastructuurdiensten die worden toegepast om alle fysieke componenten te kunnen voorzien van netwerkadressering waarop deze kunnen worden bereikt, zowel op basis van IP-adressen als op unieke naamgeving binnen een domein. |
| Netwerktoegangsdiensten | Diensten die de connectie tussen de eindpunt-devices en de switchingdienst verzorgen. Dit kan zowel gebaseerd zijn op fysieke koper of glasvezel bekabeling, danwel de connectiefunctie via een draadloos toegangsapparaat naar de switchingdienst. |
| Routingdiensten | Diensten die verkeersafhandeling verzorgen tussen adressen in verschillende netwerken. |
| Switchingdiensten | Diensten die datapaketten over een lokaal netwerk versturen tussen de verschillende devices die als eindpunt op het netwerk zijn aangesloten en die de data versturen en ontvangen. |
Voorbeelden van referentieontwerpen met de hieronder getoonde netwerkinfrastructuurservices zijn te vinden in de Kennisbank van de Modelschool bij Referentieontwerpen Netwerkinfrastructuur.
Architectuurdiagram
Definities
| Infrastructuurservice | Onderwerp | Definitie | Toelichting |
|---|---|---|---|
| Access switching service | Switchingdiensten | Een switch die verantwoordelijk is voor het verbinden van eindgebruikersapparaten (zoals werkstations, laptops, tablets, telefoons, printers) met het lokale netwerk en connectiviteit op lokaal niveau biedt. | |
| Anti-DDoS-bescherming | Beveiligingsdiensten | Het beperken en beschermen tegen DDoS-aanvallen (Distributed Denial of Service) door kwaadaardige patronen in netwerkverkeer te identificeren en te filteren. | |
| Anti-virus scanning | Beveiligingsdiensten | Het scannen van inkomend en uitgaand verkeer op bekende virussen en malware en kwaadaardige patronen. | |
| Application Control | Beveiligingsdiensten | Het real-time bewaken en controleren van het gebruik van een groep/categorie van applicaties binnen het netwerk, vaak inclusief functies zoals applicaties op de witte of zwarte lijst. | |
| Application layer filtering | Beveiligingsdiensten | Het beheren van de toegang tot specifieke applicaties of services op basis van de applicatielaagprotocollen. | De applicatielaag is de bovenste laag in het OSI-model. |
| Content filtering | Beveiligingsdiensten | Het real-time blokkeren of toestaan van inhoud op basis van vooraf gedefinieerde criteria, zoals trefwoorden of bestandstypen. | |
| Core switching service | Switchingdiensten | Een switch die fungeert als centraal schakelpunt in een netwerk en verantwoordelijk is voor het forwarden van dataverkeer tussen verschillende delen van het netwerk op hoge snelheid. | |
| Distribution switching service | Switchingdiensten | Switch (vaak uitgevoerd met extra functionaliteit) die fungeert als tussenlaag tussen Core-switches en Access-switches om het netwerkverkeer te forwarden. | Zaken als filtering, QoS en routering kunnen hier plaatsvinden. |
| Domain Name System (DNS) | Netwerkadresseringsdiensten | Het vertalen voor mensen leesbare domeinnamen naar IP-adressen, waardoor de routering van gegevens over het internet wordt vergemakkelijkt. | DNS is beschreven in de documenten RFC 1034 en RFC 1035. |
| Dynamic and static host configuration | Netwerkadresseringsdiensten | Het dynamisch en statisch toewijzen van IP-adressen aan apparaten in een netwerk, met bijbehorende netwerkgegevens (zoals een subnetmask, default gateway, DNS-servers, WINS-server, lease tijd, e.a.) met als doel vindbaar te zijn in een netwerk. | Netwerkadressen kunnen zowel vast (statisch) als dynamisch met Dynamic Host Configuration Protocol (DHCP) worden uitgedeeld. Met name netwerkcomponenten, printers en datacenter-machines krijgen statische adressen toegekend. |
| Intrusion Detection / Prevention service (IDS/IPS) | Beveiligingsdiensten | Het controleren van netwerk- en/of systeemactiviteiten op kwaadaardige software of schendingen van het beveiligingsbeleid, en het voorkomen en verwijderen ervan. | |
| Network / Port Address Translation (NAT/PAT) | Netwerkadresseringsdiensten | Het vertalen van privé-IP-adressen (RFC1918) naar één openbaar IP-adres voor uitgaand verkeer om interne netwerkstructuren te verbergen en de behoefte aan IP-adressen te verminderen. | Network Address Translation (NAT) en Port Address Translation (PAT) zijn methodieken die samenwerken aan de beoogde functionaliteit: Private (interne) adressen bereiken met publieke toegang. Door NAT en PAT gecombineerd in te zetten wordt het mogelijk een mapping te maken tussen de schaarse publieke IP-adressen die de provider beschikbaar stelt, en het aanzienlijk grotere aantal adressen aan de private kant van het netwerk. |
| Network Access Control (NAC) | Beveiligingsdiensten | Het beheren van de toegang tot een netwerk op basis van de identiteit van de gebruiker en de veiligheidsstatus van het apparaat dat toegang probeert te verkrijgen. | |
| Proxy service | Beveiligingsdiensten | Hert optreden als intermediair tussen interne en externe netwerken en het namens clients doorsturen van verzoeken en antwoorden. | |
| Routing service | Routingdiensten | Het doorsturen van netwerkverkeer tussen verschillende netwerken, waaronder het Internet. | |
| Stateful traffic filtering | Beveiligingsdiensten | Het controleren van netwerkverkeer op basis van gespecificeerde criteria om specifieke soorten netwerkverkeer te reguleren (bijvoorbeeld toestaan of blokkeren). | Er wordt gekeken naar de staat van verbindingssessie (in de context van het netwerkverkeer). Met Stateful Traffic Filtering wordt gefilterd op alle verkeerspakketen die bij elkaar horen in dezelfde verbindingssessie. |
| VPN gateway service | Beveiligingsdiensten | Het mogelijk maken van veilige communicatie via niet-vertrouwde netwerken, die vaak worden gebruikt voor externe toegang of site-to-site-connectiviteit. | |
| Web filtering | Beveiligingsdiensten | Het beperken van de toegang tot specifieke websites of inhoudscategorieën op basis van beleid. | |
| Wired Access service | Netwerktoegangsdiensten | Een dienst die het apparaten, zoals laptops, smartphones en tablets, mogelijk maakt om bekabeld verbinding te maken met een netwerk. | |
| Wireless Access service | Netwerktoegangsdiensten | Een dienst die het apparaten, zoals laptops, smartphones en tablets, mogelijk maakt om verbinding te maken met een draadloos netwerk volgens een van de wifi-standaarden (IEEE 802.11). | Het maakt verbinding met een bekabeld netwerk en biedt draadloze connectiviteit voor apparaten binnen het bereik ervan, zoals laptops, smartphones en tablets. |