企業内網上網配置?企業内網，和每家每戶的家庭網絡連接外網（Internet）沒有太大的區别區别主要體現在網絡的冗餘性、高可用性、高安全性、高擴展性，我來為大家講解一下關于企業内網上網配置?跟着小編一起來看一看吧!

企業内網上網配置

企業内網，和每家每戶的家庭網絡連接外網（Internet）沒有太大的區别。區别主要體現在網絡的冗餘性、高可用性、高安全性、高擴展性。

家庭内網還是企業内網，使用的地址段盡管千奇百怪，但是有一點是一定的，内網使用的IP地址是私有的，它們分别是：

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16

不相信的讀者可以看看自己手機、電腦的IP地址是不是都位于以上三個地址段。正好可以練練網絡掩碼的知識。

互聯網，Internet，外網，三者意義相同。互聯網規定，以上三個私有IP地址段的報文不能進入互聯網。善于推理的同學立馬就會得出一個結論：在公司内網與互聯網的連接處（網關），必須将進入互聯網的流量的源IP地址修改成一個互聯網合法的IP地址，才能滿足互聯網的嚴格規定。

互聯網合法的IP地址，就是常說的公網IP、全球可路由IP、互聯網可路由IP。實現這個地址轉換的模塊叫NAT（Network Address Translation）。無論家庭網關還是手機熱點還是公司網關，都具有這個NAT功能。

通常網關上公網IP就一個，但是内網主機IP卻有好多，如果隻依賴于IP地址的轉換，那麼返程的流量，網關就沒有辦法是哪台主機的流量。解決這個問題很簡單，NAT技術使用IP 端口号兩者的轉換，每一個内網的Session，對應唯一的IP 端口号組合。

通常家庭網關不用配置這些複雜NAT配置，使用默認配置就可以工作了。因為家庭網絡需求太簡單了。但是企業網卻不一樣，不僅僅需要滿足員工上外網，還需要外網的用戶訪問公司的服務器，還需要遠程辦公的員工訪問公司VPN網關，還需要與分布在全球成百上千的Site互聯。

外網用戶訪問公司服務器

比如公司對外提供443端口的https服務，而位于内網的服務器IP也是私有的。互聯網用戶肯定無法使用服務器的私有IP訪問服務器，那麼就需要在網關上做一個基于目的IP的NAT。比如公司服務器公網IP=11.11.11.11，服務器私有IP = 10.11.11.11，那麼網關上做了NAT之後，網關收到目的IP = 11.11.11.11的報文，就會轉換成10.11.11.11，然後發給服務器，返程流量逆處理即可。

為了保護内網的安全，需要開啟防火牆策略，隻允許443端口訪問内網，其它端口統統拒絕。這樣是不是就足夠安全了呢？

這種基于網絡三四層的過濾，隻能阻擋一些低級的攻擊。如果http消息層面嵌入了一些惡意代碼，防火牆是沒有辦法來阻擋的。企業網是怎麼來阻斷應用層的攻擊？

通常在外網流量在防火牆處理之後，會流經應用層安全網關，安全網關将整個報文做一次深度的體檢，匹配攻擊特征庫、匹配病毒特征庫。如果體檢合格，放行并到達服務器。否則直接丢包處理。這樣就确保進入服務器的報文是安全無憂的。

以上安全措施就可以保證網絡高可用性了嗎？

如果攻擊方并不鑽研技術，而是秉持一個想法，用大流量将公司外網的帶寬擠爆了，可否管用？

這個是可行的，如果流量将帶寬打滿，其它用戶就沒法訪問服務器了。運營商有付費的流量清洗服務，一旦觸發清洗阈值，将攻擊流量清洗掉。

當然為了保證公司網絡的高可用性，通常企業網會有多個互聯網出口，可以按照優先級排列。一旦高優先級的出口挂了，流量會自動切換到備用出口。對于公司來說，設備的錢、帶寬的錢，相比斷網造成員工無法辦公的損失是小數目，所以高可用性是一個很重要的指标。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!