實現內外網數據交互安全

內網通常指局域網，常用于公司內部運營支撐系統、視頻監控、傳輸設備網管和服務器通信行。根據安全等級防護要求，內網是不能直接訪問Internet。其原因主要是維護內網網絡的純凈性，從而進一步保證內部網絡穩定和安全。那么如果外網需要訪問內網的資源呢？外網是相對內網而言，是面向Internet部署的網絡，剛才談到內網需要可靠的安全性，為實現網絡需求就需要一個安全有效的方案進行內外網數據交互，接下來就根據一個網絡案例來具體介紹下網絡的實現過程。

近日，某平臺根據業務發展的需要，要實現在平臺終端上查看視頻監控，而視頻監控則部署連接在內網上，而平臺則部署在外網上，既然要實現外網訪問內網的數據，那么就需要一個穩妥且安全的方法來實現。

要實現該網絡需求有兩種方法。一是將內網和外網核心設備進行連接，兩端核心設備通過三層地址互聯，然后通過靜態路由的辦法，將內網資源交互到外網平臺上使用；另一種是在內外網設備連接前，中間部署一臺防火墻，在防火墻上將內網視頻監控攝像頭的IP地址使用NAT技術實現地址轉換，然后再使用靜態路由的辦法實現外網平臺訪問內網攝像頭的需求。

綜合比較下兩種方案，其中方案一的優點是具有很好的易操作性，方便實施，可快速實現外網平臺訪問內網資源，缺點是該方案通過路由的方式進行數據交互，很容易引起內網資源的受到安全威脅，不利于網絡的穩定性，同時也不符合組網的規范性原則。方案二是通過在內外網之間部署一臺防火墻，使用NAT和安全策略來實現網絡的互訪，這樣雖然在網絡部署上比較麻煩，但是從后期網絡安全穩定和長期運營發展的角度出發，第二種方案具有很好的可操作性，符合網絡組網的規范，并可以有效的保證內網的安全穩定。

在對方案進行簡單推敲并對優缺點進行比較后，計劃按照第二種方案進行實施，在實施之前，我們首先梳理下計劃組網的網絡拓撲結構，如圖1所示。

內網攝像頭位于內網匯聚交換機上，然后通過核心內網交換機進行數據傳輸。而平臺位于外網的核心路由器側，核心路由器連接BRAS，單位計劃在BRAS和內網核心交換機之間部署一臺防火墻。其中外網平臺服務器和核心路由器是通過靜態路由通訊，然后在核心路由器的BGP中引入靜態路由進行路由重分發，實現BRAS和平臺服務器的通訊。內網攝像頭位于城網的匯聚交換機上，使用OSPF進行通訊，實現了核心交換機和攝像頭的通訊。

圖1 網絡拓撲圖

首先在BRAS上需要配置端口的互聯地址和靜態路由，具體的配置命令即：

完成BRAS上端口互聯地址和靜態路由配置后，接下來開始配置防火墻，防火墻的配置主要分為互聯地址、靜態路由和NAT的配置。具體配置命令即：

完成防火墻的配置后，接下來我們就可以在10.66.66.0/25網絡的電腦上對10.220.255.2進行ping測試是成功的，而且可以查看到攝像頭的畫面。同樣在平臺上也可以正常觀看到攝像頭的視頻。上面我們在防火墻上使用了一個攝像頭IP地址進行靜態NAT測試，接下來就可以按照這個配置方法進行規模化的攝像頭接入配置工作，這樣就完成了該網絡的全部調試。

上面我們從知悉網絡需求，為了實現內網攝像頭可以在外網平臺上查看，必須打通內外網絡，根據這一需求通過對網絡方案進行推敲和比較，最終確定使用防火墻作為媒介將內外網進行互聯，通過對BRAS和防火墻的一系列配置最終達到了網絡需求。該方法在實現網絡安全的前提下，又完美的解決了內外網通訊的需求，可謂一舉兩得，同時也完善了網絡的規范性。