近期公司接到上級單位通知需要各個分支機構建設金融專網,其中有一條要求是終端設備不允許訪問互聯網。由於各個分支機構沒有獨立的防火牆設備。各分支機構訪問互聯網都是通過公網隧道從總部機房出口。在公網隧道故障時,訪問互聯網的流量切換到本地線路出局。因此,單純的在總部機房防火牆限制訪問無法達到完整的效果。
因此,我們考慮了幾種方案:
1、調整終端主機路由配置
2、當地接入交換機明細ACL控制
3、當地出口路由器回指null0路由
這三種方法中,選擇一種方法結合總部機房防火牆過濾配合使用。
經過深思熟慮後,我們選擇調整終端主機路由的方式,可以簡化網絡配置,易於分公司的helpdesk維護。而且終端的限制近源,從源頭掐掉了訪問互聯網的流量,減少了內網中的垃圾流量。
終端配置思路
觀察終端設備路由,可以發現有一條默認路由,主機採用該路由訪問互聯網。
在終端設備上刪除該路由,再加上內網和專網業務路由,即可限制該主機訪問目標。
考慮到主機在使用中會有開關機重啓的情況,該任務需要在每次開機後執行一遍。
因此,採用BAT腳本調整路由,然後開機計劃任務執行該腳本。
終端配置步驟
1、首先準備shybj.bat腳本,內容樣例如下:
@echo off
##10.16.25.1爲本機網關地址,該條目爲內網路由
route -p add 10.16.0.0 mask 255.255.0.0 10.16.25.1
##添加業務地址路由,該條目爲業務路由
route -p add 10.4.1.0 mask 255.255.255.0 10.16.25.1
##刪除默認路由,無需修改
route delete 0.0.0.0 mask 0.0.0.0
2、運行打開計劃任務
3、新建一個開機任務,使用最高權限運行
由於更改主機路由需要管理員權限,因此要採用最高權限執行腳本。
4、設置觸發條件,延遲啓動1分鐘
經測試,開機後直接執行是失效的,原因可能是開機後腳本執行先於網絡啓動。
5、調用腳本
6、可以看到任務處於準備就緒狀態
從終端和網絡設備兩個維度同時限制專網設備訪問,可確保專網設備與互聯網隔離,滿足上級單位的網絡建設需求。