限制主机访问实现内外网隔离（隔离内部网络和外部网络）

限制主机访问实现内外网隔离（隔离内部网络和外部网络）

近期公司接到上级单位通知需要各个分支机构建设金融专网，其中有一条要求是终端设备不允许访问互联网。由于各个分支机构没有独立的防火墙设备。各分支机构访问互联网都是通过公网隧道从总部机房出口。在公网隧道故障时，访问互联网的流量切换到本地线路出局。因此，单纯的在总部机房防火墙限制访问无法达到完整的效果。因此，我们考虑了几种方案：

1、调整终端主机路由配置2、当地接入交换机明细ACL控制3、当地出口路由器回指null0路由

这三种方法中，选择一种方法结合总部机房防火墙过滤配合使用。经过深思熟虑后，我们选择调整终端主机路由的方式，可以简化网络配置，易于分公司的helpdesk维护。而且终端的限制近源，从源头掐掉了访问互联网的流量，减少了内网中的垃圾流量。

终端配置思路

终端配置步骤

1、首先准备shybj.bat脚本，内容样例如下：

@echo off##10.16.25.1为本机网关地址，该条目为内网路由route -p add 10.16.0.0 mask 255.255.0.0 10.16.25.1 ##添加业务地址路由，该条目为业务路由route -p add 10.4.1.0 mask 255.255.255.0 10.16.25.1##删除默认路由，无需修改route delete 0.0.0.0 mask 0.0.0.0

从终端和网络设备两个维度同时限制专网设备访问，可确保专网设备与互联网隔离，满足上级单位的网络建设需求。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。