實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)交互安全

內(nèi)網(wǎng)通常指局域網(wǎng)，常用于公司內(nèi)部運(yùn)營支撐系統(tǒng)、視頻監(jiān)控、傳輸設(shè)備網(wǎng)管和服務(wù)器通信行。根據(jù)安全等級(jí)防護(hù)要求，內(nèi)網(wǎng)是不能直接訪問Internet。其原因主要是維護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)的純凈性，從而進(jìn)一步保證內(nèi)部網(wǎng)絡(luò)穩(wěn)定和安全。那么如果外網(wǎng)需要訪問內(nèi)網(wǎng)的資源呢？外網(wǎng)是相對內(nèi)網(wǎng)而言，是面向Internet部署的網(wǎng)絡(luò)，剛才談到內(nèi)網(wǎng)需要可靠的安全性，為實(shí)現(xiàn)網(wǎng)絡(luò)需求就需要一個(gè)安全有效的方案進(jìn)行內(nèi)外網(wǎng)數(shù)據(jù)交互，接下來就根據(jù)一個(gè)網(wǎng)絡(luò)案例來具體介紹下網(wǎng)絡(luò)的實(shí)現(xiàn)過程。

近日，某平臺(tái)根據(jù)業(yè)務(wù)發(fā)展的需要，要實(shí)現(xiàn)在平臺(tái)終端上查看視頻監(jiān)控，而視頻監(jiān)控則部署連接在內(nèi)網(wǎng)上，而平臺(tái)則部署在外網(wǎng)上，既然要實(shí)現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)的數(shù)據(jù)，那么就需要一個(gè)穩(wěn)妥且安全的方法來實(shí)現(xiàn)。

要實(shí)現(xiàn)該網(wǎng)絡(luò)需求有兩種方法。一是將內(nèi)網(wǎng)和外網(wǎng)核心設(shè)備進(jìn)行連接，兩端核心設(shè)備通過三層地址互聯(lián)，然后通過靜態(tài)路由的辦法，將內(nèi)網(wǎng)資源交互到外網(wǎng)平臺(tái)上使用；另一種是在內(nèi)外網(wǎng)設(shè)備連接前，中間部署一臺(tái)防火墻，在防火墻上將內(nèi)網(wǎng)視頻監(jiān)控?cái)z像頭的IP地址使用NAT技術(shù)實(shí)現(xiàn)地址轉(zhuǎn)換，然后再使用靜態(tài)路由的辦法實(shí)現(xiàn)外網(wǎng)平臺(tái)訪問內(nèi)網(wǎng)攝像頭的需求。

綜合比較下兩種方案，其中方案一的優(yōu)點(diǎn)是具有很好的易操作性，方便實(shí)施，可快速實(shí)現(xiàn)外網(wǎng)平臺(tái)訪問內(nèi)網(wǎng)資源，缺點(diǎn)是該方案通過路由的方式進(jìn)行數(shù)據(jù)交互，很容易引起內(nèi)網(wǎng)資源的受到安全威脅，不利于網(wǎng)絡(luò)的穩(wěn)定性，同時(shí)也不符合組網(wǎng)的規(guī)范性原則。方案二是通過在內(nèi)外網(wǎng)之間部署一臺(tái)防火墻，使用NAT和安全策略來實(shí)現(xiàn)網(wǎng)絡(luò)的互訪，這樣雖然在網(wǎng)絡(luò)部署上比較麻煩，但是從后期網(wǎng)絡(luò)安全穩(wěn)定和長期運(yùn)營發(fā)展的角度出發(fā)，第二種方案具有很好的可操作性，符合網(wǎng)絡(luò)組網(wǎng)的規(guī)范，并可以有效的保證內(nèi)網(wǎng)的安全穩(wěn)定。

在對方案進(jìn)行簡單推敲并對優(yōu)缺點(diǎn)進(jìn)行比較后，計(jì)劃按照第二種方案進(jìn)行實(shí)施，在實(shí)施之前，我們首先梳理下計(jì)劃組網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，如圖1所示。

內(nèi)網(wǎng)攝像頭位于內(nèi)網(wǎng)匯聚交換機(jī)上，然后通過核心內(nèi)網(wǎng)交換機(jī)進(jìn)行數(shù)據(jù)傳輸。而平臺(tái)位于外網(wǎng)的核心路由器側(cè)，核心路由器連接BRAS，單位計(jì)劃在BRAS和內(nèi)網(wǎng)核心交換機(jī)之間部署一臺(tái)防火墻。其中外網(wǎng)平臺(tái)服務(wù)器和核心路由器是通過靜態(tài)路由通訊，然后在核心路由器的BGP中引入靜態(tài)路由進(jìn)行路由重分發(fā)，實(shí)現(xiàn)BRAS和平臺(tái)服務(wù)器的通訊。內(nèi)網(wǎng)攝像頭位于城網(wǎng)的匯聚交換機(jī)上，使用OSPF進(jìn)行通訊，實(shí)現(xiàn)了核心交換機(jī)和攝像頭的通訊。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

首先在BRAS上需要配置端口的互聯(lián)地址和靜態(tài)路由，具體的配置命令即：

完成BRAS上端口互聯(lián)地址和靜態(tài)路由配置后，接下來開始配置防火墻，防火墻的配置主要分為互聯(lián)地址、靜態(tài)路由和NAT的配置。具體配置命令即：

完成防火墻的配置后，接下來我們就可以在10.66.66.0/25網(wǎng)絡(luò)的電腦上對10.220.255.2進(jìn)行ping測試是成功的，而且可以查看到攝像頭的畫面。同樣在平臺(tái)上也可以正常觀看到攝像頭的視頻。上面我們在防火墻上使用了一個(gè)攝像頭IP地址進(jìn)行靜態(tài)NAT測試，接下來就可以按照這個(gè)配置方法進(jìn)行規(guī)模化的攝像頭接入配置工作，這樣就完成了該網(wǎng)絡(luò)的全部調(diào)試。

上面我們從知悉網(wǎng)絡(luò)需求，為了實(shí)現(xiàn)內(nèi)網(wǎng)攝像頭可以在外網(wǎng)平臺(tái)上查看，必須打通內(nèi)外網(wǎng)絡(luò)，根據(jù)這一需求通過對網(wǎng)絡(luò)方案進(jìn)行推敲和比較，最終確定使用防火墻作為媒介將內(nèi)外網(wǎng)進(jìn)行互聯(lián)，通過對BRAS和防火墻的一系列配置最終達(dá)到了網(wǎng)絡(luò)需求。該方法在實(shí)現(xiàn)網(wǎng)絡(luò)安全的前提下，又完美的解決了內(nèi)外網(wǎng)通訊的需求，可謂一舉兩得，同時(shí)也完善了網(wǎng)絡(luò)的規(guī)范性。