为什么公司内部服务禁止访问外网?

已于 2022-06-29 22:47:25 修改
阅读量1.1w 收藏 11
点赞数 3
分类专栏: 稳定性 文章标签: 安全 web安全 网络
于 2022-02-11 23:46:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuqiuhui/article/details/122890694
版权

文章目录


在这里插入图片描述

上图网络访问分为两个方向:

  • Internet(外网)访问公司网络 www.taobao.com:请求经路由转发后会到公司负载均衡服务器上,负载均衡服务器会对请求做如验签、限流等控制,一般不会有安全风险。
  • 公司局域网访问Internet(外网)www.baidu.com:公司局域网访问Internet(外网)www.baidu.com时,同样会经路由转发,若路由器中设置了ACL(访问控制列表),则无法访问,否则可以进行访问。这里ACL可针对公司局域网内不同网段的请求进行分别配置,比如生产网安全级别高不能访问外网,而办公网可以访问外网(如阿里内部的七网隔离)。这样不仅能提高网络安全性,而且易于管理。

简单介绍一下ACL,ACL(访问控制列表)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。下面介绍一下什么是访问外网、访问外网的风险,以及什么场景下需要申请外连公网。

什么是访问外网?

访问外网是指公司内部部署的应用服务器主动外连公网,比如上图中生产网的一台服务器访问www.baidu.com。

访问外网的风险

公司内部应用服务器若具备主动外连公网的能力存在以下风险:

  • 攻击者可从公网下载恶意后门、挖矿木马等,然后进行对公司内部服务器进行入侵
  • 攻击者能获取公司内部数据,从而造成数据泄露
  • 方便攻击者利用XXE、SSRF等漏洞

什么业务场景需要申请外连公网?

  • 对接外部开放平台,需要使用 open api 等需求。如访问支付宝开放平台等

  • 爬虫需求。

    此前蚂蚁出现过安全事件,蚂蚁某内部应用具备巡检功能,会去访问用户提供的域名(用户提供的域名是不确定的,比如国务院政府网站等),该应用访问了大量国务院政府网站,因蚂蚁生产网各应用共用外网出口ip,导致所有蚂蚁出口ip补充政府网站封禁,影响蚂蚁大量核心业务运行,产生了很大的影响。

所以说,应用基线默认应用是不允许访问外网的(可尝试在服务器ping命令,如 ping www.baidu.com来验证),针对于以上业务场景,若需要开通外网访问,可进行安全评估后由运维放开访问外网的限制即可

欢迎如转载,请注明出处!欢迎关注微信公众号:方辰的博客

bboyzqh
关注
专栏目录
解决公司内网只允许微信上网:CentOS7 + SS5 搭建Sockt5代理服务器方案
weixin_34411563的博客
03-14 2363
适用场景:公司内部电脑不允许连接外网,但是工作需要使用微信: 环境准备:Linux主机一台(允许上外网,关闭selinux 和防火墙) 本篇以centOS7为例: 使用到的linux命令如下: 1.安装SS5依赖包:yum install gcc openldap-devel pam-devel openssl-devel 2.下载ss5wget http://jaist.dl.sour...
控制局域网部分机器不能上外网
01-15
在同一个局域网内,在路由器里设置部分机器不能上外网
公司、办公司内如何限制上外网因特网、只能连内网局域网 - 注册表工具软件、批处理办法 - 注册表转换成批处理BAT,批处理如何修改注册表
我叫阿东亮
04-08 2346
公司、办公司内如何限制上外网因特网、只能连内网局域网 - 注册表工具软件、批处理办法 - 注册表转换成批处理BAT,批处理如何修改注册表 原理:让网页联网时自动使用一个无效代理达到无法访问网络 注册表办法:新建一个reg文件(Offline.bat)用TXT编辑以下内容并保存运行  REGEDIT4 [HKEY_CURRENT_USER\Software\Micros
公司WiFi后,无法访问外网,怎么回事,如何解决?
最新发布
siaok的博客
05-26 2650
DNS,英文全称为,即域名系统。当我们在浏览器输入一个 URL 地址时,浏览器要向这个 URL 的主机名对应的服务器发送请求,就得知道这个服务器对应的 IP地址,而对于浏览器来说,DNS 的作用就是将主机名转换成 IP 地址【正向解析】。一个由分层的 DNS 服务器( DNS server) 实现的分布式数据库一个使得主机能够查询分布式数据库的应用层协议。
解决拨外网***上不了公司内网问题(公司内网与线上服务器内网在同一个网段)...
weixin_34238642的博客
04-12 642
公司之前就一直有这个问题,并且尚未解决,今天有点时间就顺便搞搞,看了些网上资料,同个网段的情况也有,但是很多热心回答就不靠谱了,有可以的,有不可以的,有建议换个网段的,都不丢个验证出来给大家看看。就当我复习下网络相关的知识并做下记录分享出来。这个问题做是比较简单的,几条命令就搞定,但是前提是得搞明白原理。操作系统环境:win10为例网络情况: 公司内网ip:19...
公司网络限制的一个变通解决方法
weixin_30265103的博客
07-20 1571
1. 公司里面非域控的机器无法上外网也无法方位内网. 造成工作很难开展. 2. 解决方法 同一个B段或者是C段 找能够上网的机器 开启端口转发来解决问题. 3. 具体方法如图示 netsh interface portproxy add v4tov4 listenaddress=10.24.12.78 listenport=22222 connectaddress=10.24...
公司不能上外网的故障
weixin_34000916的博客
02-17 720
公司不能上外网的故障以前我在一个企业做网管,企业是10M光纤上网的。由于要造新办公大楼,所以网络要重新架设。我们就找一个网络公司的人做了一些这个布线工程,路由器是以前就有的,不用重新设置。光纤进来之后,用光纤盒熔接之后,再接到路由器上的。这样两个星期左右,网络都调试好了。路由器,交接机,光纤盒都在一个机柜里面。一天星期一早...
配置防火墙,禁止服务器访问外网
loody1的博客
03-26 756
背景:通过配置防火墙,禁止Windows Server2019访问外网,只能访问内网的资源。内网是10开头的IP。原理:主要配置Windows安全中心-防火墙和网络保护-高级设置-出站规则,具体如下。
服务器禁止访问外网策略配置
为了生活,不得不努力奋斗!
01-03 1278
比如以上例子,当添加 11.0.0.0-172.15.255.255 网段时,ipset 添加会失败。Linux 下的禁外网主机策略可以这么写,先在主机上创建一个 ipset www ,将所有的外网网段加入到这个 ipset 集合中。一般入出站策略需要配对写,如果在出站策略中把包全封死了,入站的包将无法回包。此时也相当于把回去的路封死了,大多数策略只写一半,另一半默认放行,即在入站中写禁止,出站默认放行。如果服务器只有内网业务,没有外网业务,可以禁掉所有外网访问请求。
手把手教你从如何从公司内网访问外网(非翻墙)
热门推荐
kouryoushine的博客
06-28 5万+
背景 不能上外网?是可忍孰不可忍。 根据公司安全要求,在办公网络是无法访问外网的,甚至打开百度都只能靠页面快照。作为一名程序员,不能百度是一件无法忍受的事情。幸好不是完全的网络隔离,而是屏蔽了几乎所有能上传文件的网站。如果你也遇到类似的情况,请参考下面文档,给你将如何突破这种限制。 友情提示:技术无罪,方便自己同时,不要故意违反公司规定,损害公司利益。 技术选型 nginx,正向代理老牌 squid,请参考我另外一篇博客。 说明 因为 Nginx 不支持 CONNECT,所以无法正向代理 Http
vc++实现禁止外网,但是能访问局域网的功能_国家为什么禁止外网
12-27
最后,关于“国家为什么禁止外网”,这通常是因为国家安全、信息管控、保护本地产业等多种因素。在实际应用中,企业或个人级别的网络限制更多是为了提高工作效率、防止病毒传播、保护敏感数据等目的。
nginx外网访问内网站点配置操作
01-09
方案一:(前提:外网域名映射服务器外网IP) 1.nginx配置域名监听且访问静态资源 2.重点来了!!!静态资源请求API的地址由192.168.1.12:8080修改为域名访问方式(abc.ab.com:8080) 重启nginx即可 其他方案等博主...
Exchange禁止管理员在外网登录ECP
09-10
知识点一:为什么需要禁止管理员在外网登录ECP 在信息安全日益重要的今天,电子邮件系统成为攻击者的重要目标。Exchange管理员账户具有高度的权限,可以对邮件系统进行全面的控制和配置。如果管理员账户从外网登录...
phpmyadmin中禁止外网使用的方法
12-18
为了禁止外网访问,你需要移除`Allow from 127.0.0.1`这一行,并将`Deny from all`改为`Allow from all`。这样,只有服务器本地的IP地址可以访问phpMyAdmin,外部网络的请求将被阻止。修改后的配置如下: ```apache...
华为eNSP-公司内部网络访问外网的模拟综合实验
CSDN著名博主
07-06 1万+
一、实验环境 5台路由器,7台路交换机,1台服务器,7台电脑pc 连接成如下拓扑图。 蓝色部分为互联网(外网),红色部分为公司网络(内网),绿色方形部分为OSPF区域,浅蓝色椭圆形域为RIP区域。 二、实验目的 2.1 实验目的1 配置完成后,在路由器或三层交换机中,输入dis ip routing-table,查看路由信息表,是否学习到私网全网的路由器的路由信息。 2.2 实验目的2 用PC1、PC2、PC3、PC4、PC5、PC6去ping PC7,查看连通性。 2.3 实验目的3 抓包查看内网地址在
阿里云服务器内网实例无法访问外部网络解决方法
简单记录
05-06 3305
国内公有云的宽带真的很贵,也许是受限于三大商的卡脖子。总之在多数企业服务器集群不可能为每个服务器都开通外网IP、带宽这类的,一方面是成本,还有的是为了安全等因素。但是往往有时候一个纯内网的服务器想要部署服务或者有其他需要和互联网连接的时候,就要解决这个问题了。实现无公网IP的实例也能够访问外网
高版本谷歌浏览器对内网IP跨域的限制
a2886015的博客
04-21 1664
需要注意的是,启用该特性后,如果您的网站使用了非安全的连接(如HTTP)来发送到私有网络的请求,则这些请求将被阻止,可能会导致您的网站的部分功能无法正常使用。在一次测试中,采用http部署网页,服务器采用内网ip,即使我服务端在http头部加了跨域相关的设置,如下所示,但是浏览器依然报跨域错误。"block-insecure-private-network-requests"是Chrome浏览器的一项安全特性,旨在阻止通过非安全连接(如HTTP)发送到私有网络的请求,以提高用户的安全性和隐私保护。
CIsco中限制外网访问校园网内部服务器的IP地址具体应该怎么设置ACL
06-12
如果你想限制外网访问校园网内部服务器的 IP 地址,可以使用 Cisco 的 ACL(访问控制列表)。下面是具体的设置步骤: 1. 首先,进入配置模式: ``` enable configure terminal ``` 2. 创建一个 ACL 并进行编号: ``` access-list 101 deny ip any 192.168.1.0 0.0.0.255 access-list 101 permit ip any any ``` 这里创建了一个 ACL,命名为 101,并拒绝任何来源 IP 地址访问 192.168.1.0/24 网段,然后允许任何来源 IP 地址访问任何其他地址。 3. 将 ACL 应用到特定接口的输入方向: 假设要禁止外部访问内部服务器的 IP 地址是 192.168.1.100,内部服务器所连接的接口为 GigabitEthernet 0/0/1,那么可以使用以下命令将 ACL 应用到该接口的输入方向: ``` interface GigabitEthernet 0/0/1 ip access-group 101 in ``` 4. 验证 ACL 是否生效: ``` show access-lists ``` 可以使用该命令查看 ACL 的详细信息,以及它是否在正确的接口应用。 这样配置后,任何来源 IP 地址访问 192.168.1.0/24 网段的流量都会被拒绝,而其他流量则不受影响。注意,这里的 ACL 是默认 deny all,因此需要添加一个允许任何地址通过的条目,否则所有流量都将被拒绝。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bboyzqh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值