企业内网,和每家每户的家庭网络连接外网(Internet)没有太大的区别。区别主要体现在网络的冗余性、高可用性、高安全性、高扩展性。
家庭内网还是企业内网,使用的地址段尽管千奇百怪,但是有一点是一定的,内网使用的IP地址是私有的,它们分别是:
10.0.0.0/8172.16.0.0/12192.168.0.0/16
不相信的读者可以看看自己手机、电脑的IP地址是不是都位于以上三个地址段。正好可以练练网络掩码的知识。
互联网,Internet,外网,三者意义相同。互联网规定,以上三个私有IP地址段的报文不能进入互联网。善于推理的同学立马就会得出一个结论:在公司内网与互联网的连接处(网关),必须将进入互联网的流量的源IP地址修改成一个互联网合法的IP地址,才能满足互联网的严格规定。
互联网合法的IP地址,就是常说的公网IP、全球可路由IP、互联网可路由IP。实现这个地址转换的模块叫NAT(Network Address Translation)。无论家庭网关还是手机热点还是公司网关,都具有这个NAT功能。
通常网关上公网IP就一个,但是内网主机IP却有好多,如果只依赖于IP地址的转换,那么返程的流量,网关就没有办法是哪台主机的流量。解决这个问题很简单,NAT技术使用IP + 端口号两者的转换,每一个内网的Session,对应唯一的IP + 端口号组合。
通常家庭网关不用配置这些复杂NAT配置,使用默认配置就可以工作了。因为家庭网络需求太简单了。但是企业网却不一样,不仅仅需要满足员工上外网,还需要外网的用户访问公司的服务器,还需要远程办公的员工访问公司VPN网关,还需要与分布在全球成百上千的Site互联。
外网用户访问公司服务器
比如公司对外提供443端口的https服务,而位于内网的服务器IP也是私有的。互联网用户肯定无法使用服务器的私有IP访问服务器,那么就需要在网关上做一个基于目的IP的NAT。比如公司服务器公网IP=11.11.11.11,服务器私有IP = 10.11.11.11,那么网关上做了NAT之后,网关收到目的IP = 11.11.11.11的报文,就会转换成10.11.11.11,然后发给服务器,返程流量逆处理即可。
为了保护内网的安全,需要开启防火墙策略,只允许443端口访问内网,其它端口统统拒绝。这样是不是就足够安全了呢?
这种基于网络三四层的过滤,只能阻挡一些低级的攻击。如果http消息层面嵌入了一些恶意代码,防火墙是没有办法来阻挡的。企业网是怎么来阻断应用层的攻击?
通常在外网流量在防火墙处理之后,会流经应用层安全网关,安全网关将整个报文做一次深度的体检,匹配攻击特征库、匹配病毒特征库。如果体检合格,放行并到达服务器。否则直接丢包处理。这样就确保进入服务器的报文是安全无忧的。
以上安全措施就可以保证网络高可用性了吗?
如果攻击方并不钻研技术,而是秉持一个想法,用大流量将公司外网的带宽挤爆了,可否管用?
这个是可行的,如果流量将带宽打满,其它用户就没法访问服务器了。运营商有付费的流量清洗服务,一旦触发清洗阈值,将攻击流量清洗掉。
当然为了保证公司网络的高可用性,通常企业网会有多个互联网出口,可以按照优先级排列。一旦高优先级的出口挂了,流量会自动切换到备用出口。对于公司来说,设备的钱、带宽的钱,相比断网造成员工无法办公的损失是小数目,所以高可用性是一个很重要的指标。