限制主机访问实现内外网隔离

近期公司接到上级单位通知须要各个分支机构建设金融专网，其中有一条要求是终端设备不容许访问互联网。因为各个分支机构没有独立的防火墙设备。各分支机构访问互联网都是经过公网隧道从总部机房出口。在公网隧道故障时，访问互联网的流量切换到本地线路出局。所以，单纯的在总部机房防火墙限制访问没法达到完整的效果。
所以，咱们考虑了几种方案：

一、调整终端主机路由配置
二、当地接入交换机明细ACL控制
三、当地出口路由器回指null0路由

这三种方法中，选择一种方法结合总部机房防火墙过滤配合使用。
通过深思熟虑后，咱们选择调整终端主机路由的方式，能够简化网络配置，易于分公司的helpdesk维护。并且终端的限制近源，从源头掐掉了访问互联网的流量，减小了内网中的垃圾流量。

终端配置思路

观察终端设备路由，能够发现有一条默认路由，主机采用该路由访问互联网。

在终端设备上删除该路由，再加上内网和专网业务路由，便可限制该主机访问目标。
考虑到主机在使用中会有开关机重启的状况，该任务须要在每次开机后执行一遍。
所以，采用BAT脚本调整路由，而后开机计划任务执行该脚本。

终端配置步骤

一、首先准备shybj.bat脚本，内容样例以下：

@echo off
##10.16.25.1为本机网关地址，该条目为内网路由
route -p add 10.16.0.0 mask 255.255.0.0 10.16.25.1
##添加业务地址路由，该条目为业务路由
route -p add 10.4.1.0 mask 255.255.255.0 10.16.25.1
##删除默认路由，无需修改
route delete 0.0.0.0 mask 0.0.0.0

二、运行打开计划任务

三、新建一个开机任务，使用最高权限运行
因为更改主机路由须要管理员权限，所以要采用最高权限执行脚本。

四、设置触发条件，延迟启动1分钟
经测试，开机后直接执行是失效的，缘由多是开机后脚本执行先于网络启动。

五、调用脚本

六、能够看到任务处于准备就绪状态

从终端和网络设备两个维度同时限制专网设备访问，可确保专网设备与互联网隔离，知足上级单位的网络建设需求。