博客涉及服务器、路由器、防火墙等信息技术内容,这些设备在网络环境中发挥重要作用,服务器提供服务,路由器负责网络连接,防火墙保障网络安全。
server |
内部交换机 |
外部交换机 |
电信接入 |
RouteOS |
1 |
2 |
3 |
4 |
1 |
2 |
3 |
4 |
1 |
2 |
3 |
4 |
网段1-只能上内网 |
网段2-能上内外网 |
网段3-只能上外网 |
上述网络结构的优点:
1 网段1只对网段2的主机开放,并且网段2的主机在访问网段1中的资源时,不能够与外网通信,从而确保了内网的安全性,这实现了物理的隔离。
上述网络结构的缺点:
1 网段1只能通过修改硬件连接才能够上外网,网段3只能通过修改硬件连接才能上内网,也就是说该网络结构的可配置性不高。
2 网段1中的机器和服务器的杀毒软件将不能直接得到更新。
3 外部服务器与内部服务器的数据一致性没有得到解决。
解决方案如下:
Server 内部 |
内部交换机 |
外部交换机 |
电信接入 |
RouteOS |
1 |
2 |
3 |
4 |
1 |
2 |
3 |
4 |
1 |
2 |
3 |
4 |
网段1-只能上内网 |
网段2-能上内外网 |
网段3-只能上外网 |
Server外部 |
内部网卡 |
外部网卡 |
防火墙 |
在上面的结构图中
给外部服务器配备两个网卡,一个外部网卡,供服务器与外部通信使用,用户从外面的Internet访问我们的外部服务器时,就通过这个网卡通信.还有一个内部网卡,供服务器与内网通信使用。这个网卡供外部服务器使用内部服务器上的数据库时使用.也可以在这个网卡上开设代理服务,这样就可以解决我们前面提到的1,2两个问题:
内网的机器可以升级病毒库,内网的机器可以通过临时配置来上外网。
但是,这样改进的代价是:部分取消了物理隔离。我们的内部服务器不如前面安全了。所以我们在内外服务器中间再加上一个防火墙。已达到一个折衷解决方案。
解决方案2:
电信接入 |
路由器(RouteOS 或则 Linux+iptables) |
交换机1 |
网段1-只能上内网 |
Server 外部 |
交换机2 |
网段2-能上内外网 |
交换机3 |
网段3-只能上外网 |
网卡1 |
网卡2 |
网卡3 |
网卡0 |
Server 内部 |
配置:
1 网卡1上配置成只允许内部server与网段2的主机和外部server通信,也就是说网卡1只能与网卡2通信,这样就实现了物理隔离。
2 网卡2上配置成允许网段2上的主机和网段1中的server通信以及与Internet通信。
3 网卡3配置成允许网段3上的主机只能通过网卡0访问Internet,而不能访问网段1和
网段2。
上面结构的优缺点
优点:
1 所有的网段可以动态配置,通过配置路由器,各个网段可以突破现有的限制,网段1可以上外网,网段3可以上内网。
2 网段2的机器可以同时上内外网,方案1中的网段2同一时刻只能上一个网,并且需要修改操作系统的配置才可以,而现在的方案则不需要。
3 可以解决内外部服务器间的数据实时一致性问题
4 结构较清晰简单
缺点:
1 路由器配置复杂,需要购买新的网卡并配置
扫一扫
6947
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
