实现内外网数据交互安全

内网通常指局域网，常用于公司内部运营支撑系统、视频监控、传输设备网管和服务器通信行。根据安全等级防护要求，内网是不能直接访问Internet。其原因主要是维护内网网络的纯净性，从而进一步保证内部网络稳定和安全。那么如果外网需要访问内网的资源呢？外网是相对内网而言，是面向Internet部署的网络，刚才谈到内网需要可靠的安全性，为实现网络需求就需要一个安全有效的方案进行内外网数据交互，接下来就根据一个网络案例来具体介绍下网络的实现过程。

近日，某平台根据业务发展的需要，要实现在平台终端上查看视频监控，而视频监控则部署连接在内网上，而平台则部署在外网上，既然要实现外网访问内网的数据，那么就需要一个稳妥且安全的方法来实现。

要实现该网络需求有两种方法。一是将内网和外网核心设备进行连接，两端核心设备通过三层地址互联，然后通过静态路由的办法，将内网资源交互到外网平台上使用；另一种是在内外网设备连接前，中间部署一台防火墙，在防火墙上将内网视频监控摄像头的IP地址使用NAT技术实现地址转换，然后再使用静态路由的办法实现外网平台访问内网摄像头的需求。

综合比较下两种方案，其中方案一的优点是具有很好的易操作性，方便实施，可快速实现外网平台访问内网资源，缺点是该方案通过路由的方式进行数据交互，很容易引起内网资源的受到安全威胁，不利于网络的稳定性，同时也不符合组网的规范性原则。方案二是通过在内外网之间部署一台防火墙，使用NAT和安全策略来实现网络的互访，这样虽然在网络部署上比较麻烦，但是从后期网络安全稳定和长期运营发展的角度出发，第二种方案具有很好的可操作性，符合网络组网的规范，并可以有效的保证内网的安全稳定。

在对方案进行简单推敲并对优缺点进行比较后，计划按照第二种方案进行实施，在实施之前，我们首先梳理下计划组网的网络拓扑结构，如图1所示。

内网摄像头位于内网汇聚交换机上，然后通过核心内网交换机进行数据传输。而平台位于外网的核心路由器侧，核心路由器连接BRAS，单位计划在BRAS和内网核心交换机之间部署一台防火墙。其中外网平台服务器和核心路由器是通过静态路由通讯，然后在核心路由器的BGP中引入静态路由进行路由重分发，实现BRAS和平台服务器的通讯。内网摄像头位于城网的汇聚交换机上，使用OSPF进行通讯，实现了核心交换机和摄像头的通讯。

图1 网络拓扑图

首先在BRAS上需要配置端口的互联地址和静态路由，具体的配置命令即：

完成BRAS上端口互联地址和静态路由配置后，接下来开始配置防火墙，防火墙的配置主要分为互联地址、静态路由和NAT的配置。具体配置命令即：

完成防火墙的配置后，接下来我们就可以在10.66.66.0/25网络的电脑上对10.220.255.2进行ping测试是成功的，而且可以查看到摄像头的画面。同样在平台上也可以正常观看到摄像头的视频。上面我们在防火墙上使用了一个摄像头IP地址进行静态NAT测试，接下来就可以按照这个配置方法进行规模化的摄像头接入配置工作，这样就完成了该网络的全部调试。

上面我们从知悉网络需求，为了实现内网摄像头可以在外网平台上查看，必须打通内外网络，根据这一需求通过对网络方案进行推敲和比较，最终确定使用防火墙作为媒介将内外网进行互联，通过对BRAS和防火墙的一系列配置最终达到了网络需求。该方法在实现网络安全的前提下，又完美的解决了内外网通讯的需求，可谓一举两得，同时也完善了网络的规范性。