子网划分的基本思路
在搭建企业网络时,子网划分是绕不开的一环。比如公司有50台办公电脑、20台监控设备,还有几台对外提供服务的服务器,全混在一个网络里风险太大。通过子网划分,可以把不同用途的设备隔离到各自的网段,既能提升安全性,又能减少广播风暴。
常见的做法是给办公区分配192.168.10.0/24,服务器区用192.168.20.0/24,监控设备放在192.168.30.0/24。这样即使某一台电脑中毒,也不会轻易波及到其他区域。
什么是DMZ区域
DMZ(Demilitarized Zone),中文叫隔离区,相当于网络里的“缓冲带”。像公司的官网、邮件服务器这些需要对外暴露的服务,直接放内网不安全,完全放公网又容易被攻击。DMZ就是用来放这些“半公开”设备的中间地带。
举个例子,你家客厅可以看作是DMZ——访客能进来坐坐,但卧室和书房不会让陌生人随便进。同理,外部用户能访问DMZ里的Web服务器,但想进一步进入内网还得过防火墙这道关。
配置一个典型的三层网络结构
实际部署中,通常把路由器或防火墙作为核心控制点。它连接三个接口:外网口接互联网,内网口连办公子网,DMZ口接隔离区。每个区域之间通过访问控制策略限制通信。
假设使用Linux防火墙iptables来实现基础规则:
# 允许公网访问DMZ的Web服务
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -d 192.168.20.10 -j ACCEPT
# 禁止从DMZ主动访问内网
iptables -A FORWARD -i eth1 -o eth2 -s 192.168.20.0/24 -j DROP
# 允许内网访问DMZ(方便运维)
iptables -A FORWARD -i eth2 -o eth1 -s 192.168.10.0/24 -d 192.168.20.0/24 -j ACCEPT上面这几条规则的意思是:只放行外部对DMZ中Web服务器的80端口请求,DMZ里的机器不能主动连内网,但内网员工可以管理DMZ设备。
子网划分与IP规划示例
合理的IP地址规划能让后续维护轻松不少。以下是一个常见方案:
- 外网接口:动态或静态公网IP
- 内网子网:192.168.10.0/24,网关192.168.10.1
- DMZ子网:192.168.20.0/24,网关192.168.20.1
- 监控子网:192.168.30.0/24,网关192.168.30.1
每台DMZ服务器建议使用静态IP,比如Web服务器设为192.168.20.10,邮件服务器为192.168.20.11,并在防火墙上做端口映射。
端口映射与NAT设置
为了让外网能访问到DMZ中的服务,还需要在边界设备上配置DNAT。例如将公网IP的80端口转发到192.168.20.10:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.20.10这样当用户访问你的公网IP时,请求就会被自动导向DMZ中的Web服务器。类似的,邮件服务可以用25、465、587端口做映射。
需要注意的是,DMZ主机虽然对外开放,但仍要关闭不必要的服务。比如Web服务器只开80和443,别的端口一律屏蔽,最小化攻击面。
日常维护小技巧
时间久了,可能会有人私自接个路由器扩展网络,结果把整个财务部门塞进了本该封闭的DMZ区。这类问题靠技术解决不了,得配合管理制度。
建议定期导出防火墙规则检查异常通路,同时开启日志记录关键访问行为。比如发现某个DMZ服务器突然大量向外发起连接,可能是已被攻陷,应及时隔离排查。
子网划分和DMZ配置不是一劳永逸的事,业务变化了,网络结构也得跟着调整。保持清晰的文档记录,下次改配置时才不会一头雾水。