随着科技水平和业务需求的不断提升,社会对互联网的依赖达到一种新高度,以往的网络仅仅以连通为主,未考虑相关网络安全问题,给网络中运行的业务系统带来了极大的安全风险,无法满足我国相应信息化网络安全要求。随着国家发布的信息安全保护措施等一系列的要求可以看出,现在网络已经由通转控,在通的基础上增加安全策略来防止恶意用户对业务系统进行越权、入侵等操作,哪我们应该如何进行安全防御了。
首先出口区域是我们数据进出的大门,在此区域网络设备一般都为路由器或防火墙,哪我们通过那些策略来增强我们内网服务器安全防御了。
首先防火墙或路由器启用NAT功能实现信任区域网络主机访问互联网,这是实现互连互通的基本目标。对于受信和非受信网络互连的情况,单纯实现网络互通,不作任何安全防护措施,受信网络存在较大的安全威胁,可被非受信网络用户发起恶意攻击,影响网络正常稳定运行,建议受信网络用户访问非受信网络用户时在出口做源地址转换,地址转换成外网口地址后再访问非受信网络。采用源 NAT 方式,通过使用“IP 地址+端口号”的形式进行转换,使多个受信网络主机用一个公网 IP 地址访问非受信网络,从而实现隐藏受信网络主机地址的目的。非受信网络用户不能通过 NAT 转换后的公网地址访问内网主机,提升内网主机安全性。
进入防火墙配置界面,选择“防火墙”菜单下“源 NAT”选项,进入源 NAT 配置界面,配置 NAT 策略名称,配置出接口,指定 NAT 策略的内网数据报文的出接口。配置发起方源 IP,指定需要 NAT 转换的内网 IP 地址段。配置发起方目的 IP,指定 NAT 策略的内网数据报文的目的 IP 地址。配置服务,指定 NAT 策略应用的服务类型。配置公网 IP
