近期公司接到上级单位通知需要各个分支机构建设金融专网,其中有一条要求是终端设备不允许访问互联网。由于各个分支机构没有独立的防火墙设备。各分支机构访问互联网都是通过公网隧道从总部机房出口。在公网隧道故障时,访问互联网的流量切换到本地线路出局。因此,单纯的在总部机房防火墙限制访问无法达到完整的效果。
因此,我们考虑了几种方案:
1、调整终端主机路由配置
2、当地接入交换机明细ACL控制
3、当地出口路由器回指null0路由
这三种方法中,选择一种方法结合总部机房防火墙过滤配合使用。
经过深思熟虑后,我们选择调整终端主机路由的方式,可以简化网络配置,易于分公司的helpdesk维护。而且终端的限制近源,从源头掐掉了访问互联网的流量,减少了内网中的垃圾流量。
观察终端设备路由,可以发现有一条默认路由,主机采用该路由访问互联网。
在终端设备上删除该路由,再加上内网和专网业务路由,即可限制该主机访问目标。
考虑到主机在使用中会有开关机重启的情况,该任务需要在每次开机后执行一遍。
因此,采用BAT脚本调整路由,然后开机计划任务执行该脚本。
1、首先准备shybj.bat脚本,内容样例如下:
@echo off
##10.16.25.1为本机网关地址,该条目为内网路由
route -p add 10.16.0.0 mask 255.255.0.0 10.16.25.1
##添加业务地址路由,该条目为业务路由
route -p add 10.4.1.0 mask 255.255.255.0 10.16.25.1
##删除默认路由,无需修改
route delete 0.0.0.0 mask 0.0.0.0
2、运行打开计划任务
3、新建一个开机任务,使用高权限运行
由于更改主机路由需要管理员权限,因此要采用高权限执行脚本。
4、设置触发条件,延迟启动1分钟
经测试,开机后直接执行是失效的,原因可能是开机后脚本执行先于网络启动。
5、调用脚本
6、可以看到任务处于准备就绪状态
从终端和网络设备两个维度同时限制专网设备访问,可确保专网设备与互联网隔离,满足上级单位的网络建设需求。
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。