在最近的專案中碰到了關於內部網路主機需要訪問網際網路資源的情況,因為內部網路是業務核心網路,安全性要求極高,所以,內外網的訪問控制策略需要作深入分析研究,我的方案是防火牆體系中的遮蔽子網策略。遮蔽子網通過兩台路由器和乙個周邊網路將內網與外網隔離。外網到內網之間共設計有四道關卡,分別是外網路由、堡壘主機+周邊網路、內網路由、內網防火牆。下面就四道關卡的功能做具體介紹。
1.外部路由
外部路由又稱訪問路由器,擁有網路位址轉換(nat)功能,將周邊網路(辦公外網)使用的私有網路位址(一般為192開頭的c類位址)翻譯成合法的網路ip位址,是辦公外網可以訪問網際網路的同時,使辦公主機對外網是不可見的,實現遮蔽內部網路結構的功能,主要執行的安全任務是阻止從外部網路上偽造源位址傳送進來的任何資料報。
2.堡壘主機+周邊網路
堡壘主機採用雙宿主結構,配有兩塊網絡卡,乙個用於外網通訊,另乙個用於內網通訊。堡壘主機是內外網互動的唯一入口,是整個防禦體系的核心,相當與採用**技術的防火牆,其外部網絡卡工作在周邊網路的鏈路層網路中,周邊網路的存在可以分散對堡壘主機的攻擊和探測。內部網絡卡工作在內部網路的鏈路層網路中。內網向堡壘主機提出資料請求,堡壘主機在通過外網獲取資源並存入資料庫,內部網路訪問資料庫得到資源。堡壘主機作為**使得內網獲取外網資源成為可能,堡壘主機使用雙網絡卡和獨立資料庫使得兩邊的網路實現了物理隔絕,攻擊者除非完全控制堡壘主機和資料庫伺服器才能實現對內網的探測。
3.內網路由
如果堡壘主機被攻破,則內網會暴露在攻擊者的攻擊範圍內,故資料互動通道中需要內網路由對內部子網進行遮蔽,防止堡壘主機被攻破後發起的源位址欺騙攻擊等網路層攻擊。
4.內網防火牆
內網路由只能實現簡單的資料報過濾功能,只能在網路層實現資料的安全訪問控制,為了應對攻擊者來自應用層的攻擊,內網訪問牆最好採用**技術,相當於內網堡壘主機。
防火牆體系的防禦只能阻止外部攻擊,如果要防止來自內部的攻擊,還需要在內網核心資料庫附近加入ids入侵檢測系統,同理在周邊網路的堡壘主機附近也可以增加ids,提高外層網路的安全性。
下圖為我設計的互動方案,還在學習之中,不足之處請大家指出,謝謝 *_*
mssql 內外網不同埠訪問
mssql 內外網不同埠訪問,1 配置工具中 tcp ip新增1433,8000.1 配置工具中 tcp ip新增1433,8000 2 use master gocreate endpoint tsql settlement state started as tcp listener port 8...
利用自反ACL實現對內外網訪問的控制
利用自反acl實現對內外網訪問的控制 條件 www.2cto.com 1.r1為內網路由器 2.r2為連線內外網的路由 3.r3為外網路由 組網要求 內網可以訪問外網,但是外網不可以訪問內網。原理 自反acl r1 配置介面ip router config int s0 0 router confi...
內外網互通架構
需求場景 辦公內網和辦公外網,通過防火牆隔離後,辦公外網可以上網際網路,而辦公內網不能上網際網路。辦公內網所有傳輸到辦公外網的資料,都必須經過審批,或資料安全審核。現有系統,需在保證資料安全的情況下,實現辦公內網和辦公外網互通。架構如下。方案一 資料庫級同步 比較傳統的做法,最容易實現 1 需內外網...