限制主机访问实现内外网隔离

近期公司接到上级单位通知需要各个分支机构建设金融专网，其中有一条要求是终端设备不允许访问互联网。由于各个分支机构没有独立的防火墙设备。各分支机构访问互联网都是通过公网隧道从总部机房出口。在公网隧道故障时，访问互联网的流量切换到本地线路出局。因此，单纯的在总部机房防火墙限制访问无法达到完整的效果。
因此，我们考虑了几种方案：

1、调整终端主机路由配置
2、当地接入交换机明细ACL控制
3、当地出口路由器回指null0路由

这三种方法中，选择一种方法结合总部机房防火墙过滤配合使用。
经过深思熟虑后，我们选择调整终端主机路由的方式，可以简化网络配置，易于分公司的helpdesk维护。而且终端的限制近源，从源头掐掉了访问互联网的流量，减少了内网中的垃圾流量。

终端配置思路

观察终端设备路由，可以发现有一条默认路由，主机采用该路由访问互联网。

在终端设备上删除该路由，再加上内网和专网业务路由，即可限制该主机访问目标。
考虑到主机在使用中会有开关机重启的情况，该任务需要在每次开机后执行一遍。
因此，采用BAT脚本调整路由，然后开机计划任务执行该脚本。

终端配置步骤

1、首先准备shybj.bat脚本，内容样例如下：

@echo off
##10.16.25.1为本机网关地址，该条目为内网路由
route -p add 10.16.0.0 mask 255.255.0.0 10.16.25.1
##添加业务地址路由，该条目为业务路由
route -p add 10.4.1.0 mask 255.255.255.0 10.16.25.1
##删除默认路由，无需修改
route delete 0.0.0.0 mask 0.0.0.0

2、运行打开计划任务

3、新建一个开机任务，使用最高权限运行
由于更改主机路由需要管理员权限，因此要采用最高权限执行脚本。

4、设置触发条件，延迟启动1分钟
经测试，开机后直接执行是失效的，原因可能是开机后脚本执行先于网络启动。

5、调用脚本

6、可以看到任务处于准备就绪状态

从终端和网络设备两个维度同时限制专网设备访问，可确保专网设备与互联网隔离，满足上级单位的网络建设需求。