网络边界的基本概念
很多人以为网络边界是个高大上的技术术语,其实它就是你家电脑和外部互联网之间的“门”。就像你不会让陌生人随便进出家门一样,网络边界的作用就是控制哪些流量能进来,哪些该被拦在外面。
比如你在家里用Wi-Fi上网,路由器其实就是第一道边界。公司里可能还有防火墙、网关设备,这些都在划边界。
常见的网络边界设备
家庭用户最常用的是家用路由器,它自带NAT(网络地址转换)和基础防火墙功能。企业环境会更复杂,常见设备包括:
- 防火墙(如华为USG、深信服AF)
- UTM统一威胁管理设备
- 云服务商的安全组(如阿里云、AWS Security Group)
这些设备的核心任务都是过滤进出网络的数据包。
以家用路由器为例设置边界
登录路由器后台(通常是192.168.1.1),找到“安全设置”或“防火墙”选项。开启SPI状态检测包过滤,可以拦截大部分异常连接请求。
如果你开了远程管理功能,建议关闭外网访问权限。很多人图方便打开这个功能,结果被黑客扫描到默认密码,直接进后台改了DNS,导致全家上网都跳转到钓鱼网站。
企业防火墙规则配置示例
假设公司有一台Web服务器对外提供服务,只允许HTTP(80端口)和HTTPS(443端口)开放,其他端口一律禁止。可以在防火墙上添加如下规则:
规则名称: 允许-web-流量\n源地址: 任何\n目的地址: Web服务器IP\n协议: TCP\n目的端口: 80,443\n动作: 允许规则名称: 拒绝其他所有\n源地址: 任何\n目的地址: 任何\n协议: 任何\n动作: 拒绝注意规则顺序很重要,防火墙是按从上到下的顺序匹配的,所以“拒绝所有”要放在最后。
云服务器的安全组设置
现在很多公司用云主机,比如阿里云ECS。它的安全组其实就是虚拟防火墙。进入控制台,选择实例对应的安全组,添加入方向规则:
- 放行80端口给0.0.0.0/0(所有人访问网站)
- 放行22端口仅限公司公网IP(限制SSH登录来源)
- 拒绝其他所有入站流量
这样即使服务器开了ssh服务,外面的人也连不上,只有公司内部网络才能登录操作。
别忘了内网也要设边界
很多人只防外不防内。实际上员工电脑中毒后在内网横向移动很常见。可以把财务、研发等敏感部门划分成独立VLAN,之间加访问控制策略。
比如销售部不需要访问数据库服务器,就在三层交换机或防火墙上禁止他们访问数据库所在网段。这样哪怕某个销售电脑中了木马,也无法直接攻击核心系统。
定期检查边界规则
有个客户之前为了临时调试开了一个全通规则,后来忘了删。半年后被攻击者利用这个漏洞打进去了。所以建议每季度review一次防火墙和安全组规则,清理过期或冗余的条目。
可以用命令行工具测试边界是否生效。比如从外部ping你的公网IP,正常情况应该是不通的。再用nmap扫描开放端口,确认只有必要的服务暴露在外。