内外网的安全隔离技术实现

server

内部交换机

外部交换机

电信接入

RouteOS

1

2

3

4

1

2

3

4

1

2

3

4

网段1-只能上内网

网段2-能上内外网

网段3-只能上外网

解决方案1：

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

上述网络结构的优点：

1 网段1只对网段2的主机开放，并且网段2的主机在访问网段1中的资源时，不能够与外网通信，从而确保了内网的安全性，这实现了物理的隔离。

 

上述网络结构的缺点：

1 网段1只能通过修改硬件连接才能够上外网，网段3只能通过修改硬件连接才能上内网，也就是说该网络结构的可配置性不高。

2 网段1中的机器和服务器的杀毒软件将不能直接得到更新。

3 外部服务器与内部服务器的数据一致性没有得到解决。

  解决方案如下：

Server

内部

内部交换机

外部交换机

电信接入

RouteOS

1

2

3

4

1

2

3

4

1

2

3

4

网段1-只能上内网

网段2-能上内外网

网段3-只能上外网

Server外部

内部网卡

外部网卡

防火墙

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

在上面的结构图中

给外部服务器配备两个网卡，一个外部网卡，供服务器与外部通信使用，用户从外面的Internet访问我们的外部服务器时，就通过这个网卡通信．还有一个内部网卡，供服务器与内网通信使用。这个网卡供外部服务器使用内部服务器上的数据库时使用．也可以在这个网卡上开设代理服务，这样就可以解决我们前面提到的１，２两个问题：

       内网的机器可以升级病毒库，内网的机器可以通过临时配置来上外网。

 

但是，这样改进的代价是：部分取消了物理隔离。我们的内部服务器不如前面安全了。所以我们在内外服务器中间再加上一个防火墙。已达到一个折衷解决方案。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

解决方案2：

电信接入

路由器（RouteOS 或则 Linux+iptables）

交换机1

网段1-只能上内网

Server

外部

交换机2

网段2-能上内外网

交换机3

网段3-只能上外网

网卡1

网卡2

网卡3

网卡0

结构图如下：

 

Server

内部

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

配置：

1 网卡1上配置成只允许内部server与网段2的主机和外部server通信，也就是说网卡1只能与网卡2通信，这样就实现了物理隔离。

2 网卡2上配置成允许网段2上的主机和网段1中的server通信以及与Internet通信。

3 网卡3配置成允许网段3上的主机只能通过网卡0访问Internet,而不能访问网段1和

网段2。

上面结构的优缺点

优点：

       1 所有的网段可以动态配置，通过配置路由器，各个网段可以突破现有的限制，网段1可以上外网，网段3可以上内网。

       2 网段2的机器可以同时上内外网，方案1中的网段2同一时刻只能上一个网，并且需要修改操作系统的配置才可以，而现在的方案则不需要。

       3 可以解决内外部服务器间的数据实时一致性问题

       4 结构较清晰简单

缺点：

       1 路由器配置复杂，需要购买新的网卡并配置