限制主機(jī)訪問實(shí)現(xiàn)內(nèi)外網(wǎng)隔離

近期公司接到上級(jí)單位通知需要各個(gè)分支機(jī)構(gòu)建設(shè)金融專網(wǎng)，其中有一條要求是終端設(shè)備不允許訪問互聯(lián)網(wǎng)。由于各個(gè)分支機(jī)構(gòu)沒有獨(dú)立的防火墻設(shè)備。各分支機(jī)構(gòu)訪問互聯(lián)網(wǎng)都是通過公網(wǎng)隧道從總部機(jī)房出口。在公網(wǎng)隧道故障時(shí)，訪問互聯(lián)網(wǎng)的流量切換到本地線路出局。因此，單純的在總部機(jī)房防火墻限制訪問無法達(dá)到完整的效果。
因此，我們考慮了幾種方案：

1、調(diào)整終端主機(jī)路由配置
2、當(dāng)?shù)亟尤虢粨Q機(jī)明細(xì)ACL控制
3、當(dāng)?shù)爻隹诼酚善骰刂竛ull0路由

這三種方法中，選擇一種方法結(jié)合總部機(jī)房防火墻過濾配合使用。
經(jīng)過深思熟慮后，我們選擇調(diào)整終端主機(jī)路由的方式，可以簡化網(wǎng)絡(luò)配置，易于分公司的helpdesk維護(hù)。而且終端的限制近源，從源頭掐掉了訪問互聯(lián)網(wǎng)的流量，減少了內(nèi)網(wǎng)中的垃圾流量。

終端配置思路

觀察終端設(shè)備路由，可以發(fā)現(xiàn)有一條默認(rèn)路由，主機(jī)采用該路由訪問互聯(lián)網(wǎng)。

在終端設(shè)備上刪除該路由，再加上內(nèi)網(wǎng)和專網(wǎng)業(yè)務(wù)路由，即可限制該主機(jī)訪問目標(biāo)。
考慮到主機(jī)在使用中會(huì)有開關(guān)機(jī)重啟的情況，該任務(wù)需要在每次開機(jī)后執(zhí)行一遍。
因此，采用BAT腳本調(diào)整路由，然后開機(jī)計(jì)劃任務(wù)執(zhí)行該腳本。

終端配置步驟

1、首先準(zhǔn)備shybj.bat腳本，內(nèi)容樣例如下：

@echo off
##10.16.25.1為本機(jī)網(wǎng)關(guān)地址，該條目為內(nèi)網(wǎng)路由
route -p add 10.16.0.0 mask 255.255.0.0 10.16.25.1
##添加業(yè)務(wù)地址路由，該條目為業(yè)務(wù)路由
route -p add 10.4.1.0 mask 255.255.255.0 10.16.25.1
##刪除默認(rèn)路由，無需修改
route delete 0.0.0.0 mask 0.0.0.0

2、運(yùn)行打開計(jì)劃任務(wù)

3、新建一個(gè)開機(jī)任務(wù)，使用最高權(quán)限運(yùn)行
由于更改主機(jī)路由需要管理員權(quán)限，因此要采用最高權(quán)限執(zhí)行腳本。

4、設(shè)置觸發(fā)條件，延遲啟動(dòng)1分鐘
經(jīng)測試，開機(jī)后直接執(zhí)行是失效的，原因可能是開機(jī)后腳本執(zhí)行先于網(wǎng)絡(luò)啟動(dòng)。

5、調(diào)用腳本

6、可以看到任務(wù)處于準(zhǔn)備就緒狀態(tài)

從終端和網(wǎng)絡(luò)設(shè)備兩個(gè)維度同時(shí)限制專網(wǎng)設(shè)備訪問，可確保專網(wǎng)設(shè)備與互聯(lián)網(wǎng)隔離，滿足上級(jí)單位的網(wǎng)絡(luò)建設(shè)需求。