企业内网怎么连接外网_企业内网怎么连接外网

企业内网，和每家每户的家庭网络连接外网（Internet）没有太大的区别。区别主要体现在网络的冗余性、高可用性、高安全性、高扩展性。

家庭内网还是企业内网，使用的地址段尽管千奇百怪，但是有一点是一定的，内网使用的ip地址是私有的，它们分别是：

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

不相信的读者可以看看自己手机、电脑的ip地址是不是都位于以上三个地址段。正好可以练练网络掩码的知识。

互联网，Internet，外网，三者意义相同。互联网规定，以上三个私有ip地址段的报文不能进入互联网。善于推理的同学立马就会得出一个结论：在公司内网与互联网的连接处（网关），必须将进入互联网的流量的源ip地址修改成一个互联网合法的ip地址，才能满足互联网的严格规定。

互联网合法的ip地址，就是常说的公网ip、全球可路由ip、互联网可路由ip。实现这个地址转换的模块叫NAT（Network Address Translation）。无论家庭网关还是手机热点还是公司网关，都具有这个NAT功能。

通常网关上公网ip就一个，但是内网主机ip却有好多，如果只依赖于ip地址的转换，那么返程的流量，网关就没有办法是哪台主机的流量。解决这个问题很简单，NAT技术使用ip + 端口号两者的转换，每一个内网的Session，对应唯一的ip + 端口号组合。

通常家庭网关不用配置这些复杂NAT配置，使用默认配置就可以工作了。因为家庭网络需求太简单了。但是企业网却不一样，不仅仅需要满足员工上外网，还需要外网的用户访问公司的服务器，还需要远程办公的员工访问公司vpn网关，还需要与分布在全球成百上千的Site互联。

外网用户访问公司服务器

比如公司对外提供443端口的https服务，而位于内网的服务器ip也是私有的。互联网用户肯定无法使用服务器的私有ip访问服务器，那么就需要在网关上做一个基于目的ip的NAT。比如公司服务器公网ip=11.11.11.11，服务器私有ip = 10.11.11.11，那么网关上做了NAT之后，网关收到目的ip = 11.11.11.11的报文，就会转换成10.11.11.11，然后发给服务器，返程流量逆处理即可。

为了保护内网的安全，需要开启防火墙策略，只允许443端口访问内网，其它端口统统拒绝。这样是不是就足够安全了呢？

这种基于网络三四层的过滤，只能阻挡一些低级的攻击。如果http消息层面嵌入了一些恶意代码，防火墙是没有办法来阻挡的。企业网是怎么来阻断应用层的攻击？

通常在外网流量在防火墙处理之后，会流经应用层安全网关，安全网关将整个报文做一次深度的体检，匹配攻击特征库、匹配病毒特征库。如果体检合格，放行并到达服务器。否则直接丢包处理。这样就确保进入服务器的报文是安全无忧的。

以上安全措施就可以保证网络高可用性了吗？

如果攻击方并不钻研技术，而是秉持一个想法，用大流量将公司外网的带宽挤爆了，可否管用？

这个是可行的，如果流量将带宽打满，其它用户就没法访问服务器了。运营商有付费的流量清洗服务，一旦触发清洗阈值，将攻击流量清洗掉。

当然为了保证公司网络的高可用性，通常企业网会有多个互联网出口，可以按照优先级排列。一旦高优先级的出口挂了，流量会自动切换到备用出口。对于公司来说，设备的钱、带宽的钱，相比断网造成员工无法办公的损失是小数目，所以高可用性是一个很重要的指标。

【浅析高防主机的含义及用途】【阿里云高防IP好用吗】【100G防御的香港高防主机要多少钱】【如何选择优质的香港主机】【搭建在线教育平台主机方案如何选择】【为什么香港主机高防主机比较少】【秦淮集团】【镜像安装】【大带宽服务器怎么选】【韩国服务器】【命令版本】【站群服务器】【仓库命令】【驱动器字节】【人工智能在数据中心中的作用越来越大】【主机漏洞】【命令版本】【IPFS分布式存储的优势是什么】【香港cn2主机租用看这几个方面】【日志缓冲】

版权声明：本站部分内容来源于网友推荐、互联网收集整理而来，仅供学习参考，不代表本站立场，如有内容涉嫌侵权，请联系alex-e#qq.com处理。