成都网站建设设计

将想法与焦点和您一起共享

限制主机访问实现内外网隔离-创新互联

近期公司接到上级单位通知需要各个分支机构建设金融专网,其中有一条要求是终端设备不允许访问互联网。由于各个分支机构没有独立的防火墙设备。各分支机构访问互联网都是通过公网隧道从总部机房出口。在公网隧道故障时,访问互联网的流量切换到本地线路出局。因此,单纯的在总部机房防火墙限制访问无法达到完整的效果。
因此,我们考虑了几种方案:

成都创新互联公司专注于市南企业网站建设,响应式网站设计,电子商务商城网站建设。市南网站建设公司,为市南等地区提供建站服务。全流程按需开发,专业设计,全程项目跟踪,成都创新互联公司专业和态度为您提供的服务

1、调整终端主机路由配置
2、当地接入交换机明细ACL控制
3、当地出口路由器回指null0路由

这三种方法中,选择一种方法结合总部机房防火墙过滤配合使用。
经过深思熟虑后,我们选择调整终端主机路由的方式,可以简化网络配置,易于分公司的helpdesk维护。而且终端的限制近源,从源头掐掉了访问互联网的流量,减少了内网中的垃圾流量。

终端配置思路

观察终端设备路由,可以发现有一条默认路由,主机采用该路由访问互联网。
限制主机访问实现内外网隔离
在终端设备上删除该路由,再加上内网和专网业务路由,即可限制该主机访问目标。
考虑到主机在使用中会有开关机重启的情况,该任务需要在每次开机后执行一遍。
因此,采用BAT脚本调整路由,然后开机计划任务执行该脚本。

终端配置步骤

1、首先准备shybj.bat脚本,内容样例如下:

@echo off
##10.16.25.1为本机网关地址,该条目为内网路由
route -p add 10.16.0.0 mask 255.255.0.0 10.16.25.1
##添加业务地址路由,该条目为业务路由
route -p add 10.4.1.0 mask 255.255.255.0 10.16.25.1
##删除默认路由,无需修改
route delete 0.0.0.0 mask 0.0.0.0

2、运行打开计划任务
限制主机访问实现内外网隔离

3、新建一个开机任务,使用高权限运行
由于更改主机路由需要管理员权限,因此要采用高权限执行脚本。
限制主机访问实现内外网隔离

4、设置触发条件,延迟启动1分钟
经测试,开机后直接执行是失效的,原因可能是开机后脚本执行先于网络启动。
限制主机访问实现内外网隔离

5、调用脚本
限制主机访问实现内外网隔离

6、可以看到任务处于准备就绪状态
限制主机访问实现内外网隔离

从终端和网络设备两个维度同时限制专网设备访问,可确保专网设备与互联网隔离,满足上级单位的网络建设需求。

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


分享名称:限制主机访问实现内外网隔离-创新互联
网页URL:http://chengdu.cdxwcx.cn/article/dhepii.html