聚热点 juredian

怎么上外网(企业内网怎么连接外网?)

企业内网,和每家每户的家庭网络连接外网(Internet)没有太大的区别。区别主要体现在网络的冗余性、高可用性、高安全性、高扩展性。

家庭内网还是企业内网,使用的地址段尽管千奇百怪,但是有一点是一定的,内网使用的IP地址是私有的,它们分别是:

10.0.0.0/8172.16.0.0/12192.168.0.0/16

不相信的读者可以看看自己手机、电脑的IP地址是不是都位于以上三个地址段。正好可以练练网络掩码的知识。

互联网,Internet,外网,三者意义相同。互联网规定,以上三个私有IP地址段的报文不能进入互联网。善于推理的同学立马就会得出一个结论:在公司内网与互联网的连接处(网关),必须将进入互联网的流量的源IP地址修改成一个互联网合法的IP地址,才能满足互联网的严格规定。

互联网合法的IP地址,就是常说的公网IP、全球可路由IP、互联网可路由IP。实现这个地址转换的模块叫NAT(Network Address Translation)。无论家庭网关还是手机热点还是公司网关,都具有这个NAT功能。

通常网关上公网IP就一个,但是内网主机IP却有好多,如果只依赖于IP地址的转换,那么返程的流量,网关就没有办法是哪台主机的流量。解决这个问题很简单,NAT技术使用IP + 端口号两者的转换,每一个内网的Session,对应唯一的IP + 端口号组合。

通常家庭网关不用配置这些复杂NAT配置,使用默认配置就可以工作了。因为家庭网络需求太简单了。但是企业网却不一样,不仅仅需要满足员工上外网,还需要外网的用户访问公司的服务器,还需要远程办公的员工访问公司VPN网关,还需要与分布在全球成百上千的Site互联。

外网用户访问公司服务器

比如公司对外提供443端口的https服务,而位于内网的服务器IP也是私有的。互联网用户肯定无法使用服务器的私有IP访问服务器,那么就需要在网关上做一个基于目的IP的NAT。比如公司服务器公网IP=11.11.11.11,服务器私有IP = 10.11.11.11,那么网关上做了NAT之后,网关收到目的IP = 11.11.11.11的报文,就会转换成10.11.11.11,然后发给服务器,返程流量逆处理即可。

为了保护内网的安全,需要开启防火墙策略,只允许443端口访问内网,其它端口统统拒绝。这样是不是就足够安全了呢?

这种基于网络三四层的过滤,只能阻挡一些低级的攻击。如果http消息层面嵌入了一些恶意代码,防火墙是没有办法来阻挡的。企业网是怎么来阻断应用层的攻击?

通常在外网流量在防火墙处理之后,会流经应用层安全网关,安全网关将整个报文做一次深度的体检,匹配攻击特征库、匹配病毒特征库。如果体检合格,放行并到达服务器。否则直接丢包处理。这样就确保进入服务器的报文是安全无忧的。

以上安全措施就可以保证网络高可用性了吗?

如果攻击方并不钻研技术,而是秉持一个想法,用大流量将公司外网的带宽挤爆了,可否管用?

这个是可行的,如果流量将带宽打满,其它用户就没法访问服务器了。运营商有付费的流量清洗服务,一旦触发清洗阈值,将攻击流量清洗掉。

当然为了保证公司网络的高可用性,通常企业网会有多个互联网出口,可以按照优先级排列。一旦高优先级的出口挂了,流量会自动切换到备用出口。对于公司来说,设备的钱、带宽的钱,相比断网造成员工无法办公的损失是小数目,所以高可用性是一个很重要的指标。

搜索建议:怎么上外网  怎么上外网词条  
热文

 【歌词】紫竹林 / 歌手:李祥霆

歌曲:观音赞作词:阎肃作曲:许镜清演唱:吴静歌曲时间:3分20秒lrc编辑:唐晟歌词千寻:普陀山紫竹林天蓝蓝水清清瓶中杨柳枝头甘露洒向四方都是春都是春一捧暖暖的...(展开)

热文

 我的生日作文500字

我的生日作文500字6篇在平日的学习、工作和生活里,大家最不陌生的就是作文了吧,作文是从内部言语向外部言语的过渡,即从经过压缩的简要的、自己能明白的语言,向开展...(展开)

热文

 读书让我快乐成长优秀作文

读书让我快乐成长优秀作文在日常学习、工作抑或是生活中,大家都不可避免地要接触到作文吧,借助作文可以提高我们的语言组织能力。相信很多朋友都对写作文感到非常苦恼吧,...(展开)