使用防火墻“軟”隔離

某單位局域網(wǎng)使用共享ADSL撥號(hào)方式進(jìn)行上網(wǎng)，普通終端計(jì)算機(jī)通過(guò)一款48口接入交換機(jī)與ADSL設(shè)備相連，整個(gè)網(wǎng)絡(luò)可用IP地址 范 圍 為 10.176.0.2——10.176.0.254，網(wǎng)關(guān)地址為10.176.0.1。由于工作需要，單位臨時(shí)新成立了一個(gè)辦事機(jī)構(gòu)，該機(jī)構(gòu)增添有四臺(tái)終端計(jì)算機(jī)，現(xiàn)在要求在不增加投入的情況下，讓新增添的計(jì)算機(jī)也能共享ADSL撥號(hào)方式進(jìn)行上網(wǎng)，不過(guò)為了滿(mǎn)足安全訪(fǎng)問(wèn)需求，局域網(wǎng)中的其他計(jì)算機(jī)不能通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)新機(jī)構(gòu)的計(jì)算機(jī)，但新機(jī)構(gòu)中的幾臺(tái)計(jì)算機(jī)相互之間能夠正常訪(fǎng)問(wèn)。

圖1 TCP/IP協(xié)議配置

為了滿(mǎn)足上述網(wǎng)絡(luò)改造要求，單位管理員原本打算將新增加的四臺(tái)終端計(jì)算機(jī)直接插入48口接入交換機(jī)，并利用Vlan隔離功能將它們與其他計(jì)算機(jī)隔離開(kāi)來(lái)。遺憾的是，48口接入交換機(jī)并不支持Vlan隔離功能，而且該交換機(jī)目前只剩余兩個(gè)端口沒(méi)有使用，四臺(tái)新計(jì)算機(jī)沒(méi)有辦法直接與之相。幾經(jīng)考慮，系統(tǒng)管理員找來(lái)一款8口小交換機(jī)，將其與48口接入交換機(jī)直接連接，再將新買(mǎi)的幾臺(tái)計(jì)算機(jī)全部連到小交換機(jī)上，之后利用終端計(jì)算機(jī)系統(tǒng)自帶的防火墻，來(lái)將局域網(wǎng)中的其他計(jì)算機(jī)與新計(jì)算機(jī)實(shí)現(xiàn)“軟”隔離。

當(dāng)將新計(jì)算機(jī)接入局域網(wǎng)后，依次單擊終端系統(tǒng)桌面 上 的“開(kāi) 始”、“設(shè) 置”、“網(wǎng)絡(luò)連接”圖標(biāo)，彈出網(wǎng)絡(luò)連接列表界面，用鼠標(biāo)右鍵單擊本地連接圖標(biāo)，打開(kāi)它的右鍵菜單，選擇“屬性”命令，進(jìn)入本地連接屬性對(duì)話(huà)框。選擇“Internet協(xié) 議（TCP/IP）”選項(xiàng)，點(diǎn)擊“屬性”按鈕，展開(kāi)TCP/IP協(xié)議屬性對(duì)話(huà)框。在這里選中“使用下面的IP地址”選項(xiàng)（如圖1所示），將IP地址輸入為10.176.0.2——10.176.0.254，子網(wǎng)掩碼設(shè)置為255.255.255.0，默認(rèn)網(wǎng)關(guān)地址指定為“10.176.0.1”，同時(shí)將首選DNS服務(wù)器地址輸入為本地ISP提供的DNS地址，確認(rèn)后保存設(shè)置操作，再重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，這時(shí)新計(jì)算機(jī)就能使用共享ADSL撥號(hào)方式進(jìn)行上網(wǎng)了。

圖2 Windows防火墻配置

圖3 編輯服務(wù)設(shè)置框

圖4 TCP/IP協(xié)議屬性對(duì)話(huà)框

同樣地，為其他幾臺(tái)新計(jì)算機(jī)配置好上網(wǎng)參數(shù)，讓它們都能順利訪(fǎng)問(wèn)外網(wǎng)。這個(gè)時(shí)候，這幾臺(tái)新計(jì)算機(jī)與其他計(jì)算機(jī)同處一個(gè)網(wǎng)段，它們之間是能夠相互訪(fǎng)問(wèn)的，為了實(shí)現(xiàn)新、舊計(jì)算機(jī)的上網(wǎng)隔離，還需要開(kāi)啟并配置Windows系統(tǒng)內(nèi)置防火墻。在進(jìn)行隔離配置操作時(shí)，先任意選擇一臺(tái)新計(jì)算機(jī)，在該系統(tǒng)桌面中依次點(diǎn)擊“開(kāi)始”、“設(shè)置”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，雙擊其中的“Windows防火墻”圖標(biāo)，進(jìn)入Windows防火墻配置對(duì)話(huà)框。點(diǎn)擊“常規(guī)”標(biāo)簽，選中對(duì)應(yīng)標(biāo)簽頁(yè)面中的“啟用”選項(xiàng)（如圖2所示），以開(kāi)啟防火墻的運(yùn)行狀態(tài)。接著點(diǎn)擊“例外”標(biāo)簽，將對(duì)應(yīng)標(biāo)簽頁(yè)面中的“文件和打印共享”復(fù)選項(xiàng)選中，按下“編輯”按鈕，在其后彈出的編輯服務(wù)設(shè)置框中，同時(shí)選擇“TCP 139”、“TCP 445”、“UDP 137”、“UDP 138”等端口選項(xiàng)，單擊“更改范圍”按鈕，切換到如圖3所示的更改范圍對(duì)話(huà)框。選中這里的“自定義列表”選項(xiàng)，在對(duì)應(yīng)選項(xiàng)文本框中，輸入其他幾臺(tái)新計(jì)算機(jī)的IP地址，注意每個(gè)地址之間需要用逗號(hào)隔開(kāi)，同時(shí)添加子網(wǎng)掩碼255.255.255.0地址，比方說(shuō)，可以輸入“10.176.0.131，10.176.0.132，10.176.0.133 ，10.176.0.134/255.255.255.0 ”，確認(rèn)后退出設(shè)置對(duì)話(huà)框。此時(shí)，局域網(wǎng)中的其他計(jì)算機(jī)由于受到防火墻的“軟”隔離，將無(wú)法訪(fǎng)問(wèn)那臺(tái)新計(jì)算機(jī)，但是具有防火墻例外功能的其他幾臺(tái)新計(jì)算機(jī)是能夠訪(fǎng)問(wèn)到它的。為了讓這臺(tái)新計(jì)算機(jī)也能順利訪(fǎng)問(wèn)其他新計(jì)算機(jī)，還需要在其他幾臺(tái)新計(jì)算機(jī)中，對(duì)防火墻進(jìn)行相同的軟隔離設(shè)置。

使用路由法“軟”隔離

網(wǎng)管員小張平時(shí)負(fù)責(zé)單位內(nèi)網(wǎng)系統(tǒng)的運(yùn)行維護(hù)，工作之余，也要經(jīng)常上外網(wǎng)訪(fǎng)問(wèn)一些資料。以前，小張使用筆記本電腦專(zhuān)門(mén)維護(hù)內(nèi)網(wǎng)，使用辦公桌上的臺(tái)式電腦訪(fǎng)問(wèn)外網(wǎng)。但現(xiàn)在由于筆記本要作移動(dòng)辦公使用，小張希望在自己的臺(tái)式電腦上，能夠同時(shí)訪(fǎng)問(wèn)外網(wǎng)和內(nèi)網(wǎng)。

為了達(dá)到同時(shí)上網(wǎng)目的，小張仔細(xì)觀(guān)察了臺(tái)式電腦的走線(xiàn)，發(fā)現(xiàn)其與單位交換機(jī)直接連接，恰好交換機(jī)又與外網(wǎng)和內(nèi)網(wǎng)同時(shí)連接，于是他決定使用Windows系統(tǒng)自帶的Route命令，也就是通過(guò)路由法，對(duì)內(nèi)、外網(wǎng)訪(fǎng)問(wèn)進(jìn)行“軟”隔離。假設(shè)，單位外網(wǎng)工作子網(wǎng)地址為192.168.1.0，掩碼地址為255.255.255.0，網(wǎng)關(guān)地址為192.168.1.1，臺(tái)式計(jì)算機(jī)使用的外網(wǎng)IP地址為192.168.1.10；單位內(nèi)網(wǎng)工作子網(wǎng)地址為10.176.1.0，掩碼地址為255.255.255.0，網(wǎng)關(guān)地址為10.176.1.1，臺(tái)式計(jì)算機(jī)使用的內(nèi)網(wǎng)IP地址為10.176.1.10。現(xiàn)在，小張?jiān)谧约旱呐_(tái)式電腦中，打開(kāi)TCP/IP協(xié)議屬性對(duì)話(huà)框（如圖4所示），按下“高級(jí)”按鈕，彈出高級(jí)TCP/IP設(shè)置對(duì)話(huà)框，在這里將單位內(nèi)外網(wǎng)的IP地址、掩碼地址以及網(wǎng)關(guān)地址依次添加好，確認(rèn)后保存設(shè)置操作。

圖5 設(shè)置VLAN

之后依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行 對(duì) 話(huà) 框，輸入“cmd”命令并回車(chē)，展開(kāi)DOS命令行工作窗口，在該窗口命令提示符下，執(zhí)行“route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.1”字符串命令，添加好訪(fǎng)問(wèn)外網(wǎng)的路由記錄，再執(zhí)行“route add -p 10.176.1.0 mask 255.255.255.0 10.176.1.1”字符串命令，添加好訪(fǎng)問(wèn)外網(wǎng)的路由記錄，這樣臺(tái)式電腦就能正常訪(fǎng)問(wèn)內(nèi)外網(wǎng)了。

使用VLAN法“軟”隔離

在規(guī)模適中的某單位局域網(wǎng)中，A交換機(jī)位于二樓，B交換機(jī)位于四樓，單位網(wǎng)絡(luò)的六個(gè)VLAN分別被劃分到這兩臺(tái)交換機(jī)上，而這兩臺(tái)交換機(jī)通過(guò)光纖線(xiàn)路連接到中心機(jī)房的核心路由交換機(jī)上，并利用該設(shè)備的路由功能進(jìn)行共享上網(wǎng)。后來(lái)，由于工作需要，單位領(lǐng)導(dǎo)決定，只允許位于每個(gè)樓層領(lǐng)導(dǎo)辦公室的所有終端計(jì)算機(jī)能夠訪(fǎng)問(wèn)外網(wǎng)，局域網(wǎng)中的其他計(jì)算機(jī)都不能通過(guò)核心路由交換機(jī)，進(jìn)行Internet訪(fǎng)問(wèn)。

查看單位原始組網(wǎng)資料，發(fā)現(xiàn)每個(gè)樓層領(lǐng)導(dǎo)辦公室的終端計(jì)算機(jī)，分別被劃分到了不同的VLAN中，幸好這些計(jì)算機(jī)的數(shù)量不是很多，總共不到10臺(tái)。為了達(dá)到隔離上網(wǎng)目的，單位網(wǎng)絡(luò)管理員打算將所有領(lǐng)導(dǎo)辦公室的計(jì)算機(jī)，都劃分到一個(gè)新的VLAN中，之后在A、B交換機(jī)的級(jí)聯(lián)端口中進(jìn)行合適設(shè)置，僅讓新的VLAN與單位核心路由交換機(jī)進(jìn)行連接，從而能夠通過(guò)它訪(fǎng)問(wèn)Internet網(wǎng)絡(luò)。假設(shè)，現(xiàn)在已經(jīng)將所有領(lǐng)導(dǎo)計(jì)算機(jī)的連接端口統(tǒng)一劃分到VLAN 10中了，為了讓A、B交換機(jī)的級(jí)聯(lián)端口只允許VLAN 10通行，只要先登錄進(jìn)入交換機(jī)后臺(tái)系統(tǒng)，使用“interface”命令進(jìn)入對(duì)應(yīng)端口視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行“port link-type access”命令（如圖5所示），強(qiáng)制級(jí)聯(lián)端口工作在“access”模式下，再輸入“port access vlan 10”命令，讓級(jí)聯(lián)端口只允許VLAN 10通行，其他VLAN中的計(jì)算機(jī)自然而然的也就無(wú)法上網(wǎng)訪(fǎng)問(wèn)了。