企业内网安全数据采集方案技术探索笔记

文章目录

• • • [1. 问题背景与安全红线](#1. 问题背景与安全红线)
    • [2. 错误方案：用普通交换机直连两个网络](#2. 错误方案：用普通交换机直连两个网络)
    • [3. 必备网络基础原理](#3. 必备网络基础原理)
    • • [3.1 MAC地址与IP地址的分工](#3.1 MAC地址与IP地址的分工)
      • [3.2 二层交换机的工作原理](#3.2 二层交换机的工作原理)
      • [3.3 同网段通信与跨网段通信](#3.3 同网段通信与跨网段通信)
      • [3.4 二层交换机与三层设备的区别](#3.4 二层交换机与三层设备的区别)
    • [4. 碎片信息还原与推理](#4. 碎片信息还原与推理)
    • [5. 合规方案详解：防火墙三层路由模式](#5. 合规方案详解：防火墙三层路由模式)
    • • [5.1 网络架构](#5.1 网络架构)
      • [5.2 设备角色](#5.2 设备角色)
      • [5.3 数据流转与安全控制](#5.3 数据流转与安全控制)
      • [5.4 安全效果](#5.4 安全效果)
    • [6. DMZ的补充说明](#6. DMZ的补充说明)
    • [7. 成本分析](#7. 成本分析)
    • [8. 总结与合规原则](#8. 总结与合规原则)

1. 问题背景与安全红线

业务需求

公司存在一个独立的设备局域网（例如 192.168.1.0/24），内部有数十台生产设备或传感器，持续产生业务数据。需要让OA网络（例如 10.0.0.0/24）中的某台服务器能够获取并汇总这些数据。

安全红线

公司信息安全策略明确规定：禁止双脚服务器。

• 双脚服务器：一台服务器配置两块或以上网卡，同时接入不同安全等级的网络（例如一块接设备网，一块接OA网）。
• 禁止原因：该服务器会成为两个安全域之间的跳板，一旦被攻破，攻击者可从低安全域横向移动到高安全域。

核心挑战

如何在不违反该基线的前提下，实现数据从设备局域网单向流入OA服务器？

---

2. 错误方案：用普通交换机直连两个网络

方案描述

将设备局域网内的二层交换机与OA网络的接入交换机直接用网线连通，使两个网络在二层合并。

安全风险

• 两个安全域之间的边界被彻底消除，OA网原有的防火墙、准入控制等防护对设备网内所有终端失效。
• 设备网内任意一台被控制的终端，可直接扫描、攻击OA网内的核心服务器，横向移动风险极高。
• 严重违背"禁止双脚"背后的安全域隔离原则，属于红线行为。

结论

该方案不可行，必须采用受控的、单向的数据交换方式。

---

3. 必备网络基础原理

理解合规方案前，需先掌握以下核心概念。

3.1 MAC地址与IP地址的分工

• MAC地址：网络接口的硬件地址，全球唯一，但结构扁平、无层次。寻址只能通过广播，无法在大规模网络中高效路由。
• IP地址：逻辑地址，采用网络号 + 主机号的层次化结构。路由器可通过网络号聚合路由条目，实现高效跨网段转发。
• 分工：IP负责端到端的全局寻址，MAC负责同一广播域内的最终交付。

3.2 二层交换机的工作原理

• 工作在数据链路层，根据帧头中的目的MAC地址转发。
• 维护一张"MAC地址---端口"映射表，转发时不查看、不修改IP包头。
• 交换机可配置管理IP，该IP仅用于远程管理设备，与数据转发无关。

3.3 同网段通信与跨网段通信

设备判断逻辑

源主机用自己的IP地址与子网掩码，同目的IP进行"与"运算。若网络号相同，为同网段；否则为跨网段。

同网段通信（例：192.168.1.10 → 192.168.1.20）

1. 源主机广播ARP请求：目标IP对应的MAC地址？
2. 目标主机回应自己的MAC。
3. 封装帧：目的MAC = 目标主机MAC，源MAC = 本机MAC。
4. 交换机根据目的MAC转发，帧不经过网关，MAC地址全程不变。

跨网段通信（例：192.168.1.10 → 10.0.0.50）

1. 源主机判断目标不在本网段，查找默认网关（如 192.168.1.100）。
2. 源主机广播ARP请求：网关IP对应的MAC地址？
3. 网关回应自己的MAC。
4. 源主机封装帧：目的MAC = 网关MAC ，目的IP = 最终目标IP（10.0.0.50）。
5. 交换机根据目的MAC将帧送至网关。
6. 网关处理 ：
   • 拆解帧头，读取IP包。
   • 查路由表找到出接口和下一跳。
   • 重新封装帧：源MAC = 网关出接口MAC，目的MAC = 下一跳（或最终目标）的MAC。
   • IP包头（源IP、目的IP）保持不变。
7. 数据包经后续路由设备重复此过程，直至到达目标网络，最终由最后一个网关封装目标主机MAC完成交付。

关键结论

跨网段转发时，每经过一跳路由器/三层设备，帧头的源、目的MAC均被替换，但IP包内的源IP和目的IP全程不变（除非使用NAT）。

3.4 二层交换机与三层设备的区别

• 二层交换机：仅根据MAC转发，无路由能力，无法连接不同网段。
• 三层交换机：具备基本路由功能，可跨网段转发，但安全控制能力弱（仅ACL）。
• 防火墙：具备路由功能，同时支持状态检测、深度包检测、应用层过滤等高级安全策略，适合做安全隔离。

---

4. 碎片信息还原与推理

根据讨论中逐步获得的信息，对原始方案进行还原：

已知碎片

• 设备网内只有一台二层交换机，没有采集服务器。
• 数据需通过二层交换机，经由一台被称为"IT交换机"的设备，再到达OA服务器。
• 不允许双脚服务器，不允许交换机直连。
• 方案中提到"转一道"。

推理过程

1. 二层交换机只能转发同网段流量，无法将数据送入OA网络，必须有一台能够执行跨网段路由的设备。
2. 那台被称为"IT交换机"的设备，其真实身份必然是具备三层转发能力的设备（三层交换机、防火墙或单向网闸）。
3. 考虑到没有采集服务器，且该设备需同时承担安全隔离职能，最合理的身份是防火墙------它既能通过三层路由"转一道"，又能通过状态检测和访问控制策略强制数据单向流动。
4. 单向网闸方案通常需要内网侧有采集服务器主动推送，与本场景不符，且成本更高。因此，防火墙方案最符合所有描述。

最终确认的方案

设备 → 二层交换机 → 防火墙（被误称为"IT交换机"） → OA网络中的目标服务器

---

5. 合规方案详解：防火墙三层路由模式

5.1 网络架构

#mermaid-svg-zrUVHySvFlWcPoV7{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}@keyframes edge-animation-frame{from{stroke-dashoffset:0;}}@keyframes dash{to{stroke-dashoffset:0;}}#mermaid-svg-zrUVHySvFlWcPoV7 .edge-animation-slow{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 50s linear infinite;stroke-linecap:round;}#mermaid-svg-zrUVHySvFlWcPoV7 .edge-animation-fast{stroke-dasharray:9,5!important;stroke-dashoffset:900;animation:dash 20s linear infinite;stroke-linecap:round;}#mermaid-svg-zrUVHySvFlWcPoV7 .error-icon{fill:#552222;}#mermaid-svg-zrUVHySvFlWcPoV7 .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-zrUVHySvFlWcPoV7 .edge-thickness-normal{stroke-width:1px;}#mermaid-svg-zrUVHySvFlWcPoV7 .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-zrUVHySvFlWcPoV7 .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-zrUVHySvFlWcPoV7 .edge-thickness-invisible{stroke-width:0;fill:none;}#mermaid-svg-zrUVHySvFlWcPoV7 .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-zrUVHySvFlWcPoV7 .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-zrUVHySvFlWcPoV7 .marker{fill:#333333;stroke:#333333;}#mermaid-svg-zrUVHySvFlWcPoV7 .marker.cross{stroke:#333333;}#mermaid-svg-zrUVHySvFlWcPoV7 svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-zrUVHySvFlWcPoV7 p{margin:0;}#mermaid-svg-zrUVHySvFlWcPoV7 .label{font-family:"trebuchet ms",verdana,arial,sans-serif;color:#333;}#mermaid-svg-zrUVHySvFlWcPoV7 .cluster-label text{fill:#333;}#mermaid-svg-zrUVHySvFlWcPoV7 .cluster-label span{color:#333;}#mermaid-svg-zrUVHySvFlWcPoV7 .cluster-label span p{background-color:transparent;}#mermaid-svg-zrUVHySvFlWcPoV7 .label text,#mermaid-svg-zrUVHySvFlWcPoV7 span{fill:#333;color:#333;}#mermaid-svg-zrUVHySvFlWcPoV7 .node rect,#mermaid-svg-zrUVHySvFlWcPoV7 .node circle,#mermaid-svg-zrUVHySvFlWcPoV7 .node ellipse,#mermaid-svg-zrUVHySvFlWcPoV7 .node polygon,#mermaid-svg-zrUVHySvFlWcPoV7 .node path{fill:#ECECFF;stroke:#9370DB;stroke-width:1px;}#mermaid-svg-zrUVHySvFlWcPoV7 .rough-node .label text,#mermaid-svg-zrUVHySvFlWcPoV7 .node .label text,#mermaid-svg-zrUVHySvFlWcPoV7 .image-shape .label,#mermaid-svg-zrUVHySvFlWcPoV7 .icon-shape .label{text-anchor:middle;}#mermaid-svg-zrUVHySvFlWcPoV7 .node .katex path{fill:#000;stroke:#000;stroke-width:1px;}#mermaid-svg-zrUVHySvFlWcPoV7 .rough-node .label,#mermaid-svg-zrUVHySvFlWcPoV7 .node .label,#mermaid-svg-zrUVHySvFlWcPoV7 .image-shape .label,#mermaid-svg-zrUVHySvFlWcPoV7 .icon-shape .label{text-align:center;}#mermaid-svg-zrUVHySvFlWcPoV7 .node.clickable{cursor:pointer;}#mermaid-svg-zrUVHySvFlWcPoV7 .root .anchor path{fill:#333333!important;stroke-width:0;stroke:#333333;}#mermaid-svg-zrUVHySvFlWcPoV7 .arrowheadPath{fill:#333333;}#mermaid-svg-zrUVHySvFlWcPoV7 .edgePath .path{stroke:#333333;stroke-width:2.0px;}#mermaid-svg-zrUVHySvFlWcPoV7 .flowchart-link{stroke:#333333;fill:none;}#mermaid-svg-zrUVHySvFlWcPoV7 .edgeLabel{background-color:rgba(232,232,232, 0.8);text-align:center;}#mermaid-svg-zrUVHySvFlWcPoV7 .edgeLabel p{background-color:rgba(232,232,232, 0.8);}#mermaid-svg-zrUVHySvFlWcPoV7 .edgeLabel rect{opacity:0.5;background-color:rgba(232,232,232, 0.8);fill:rgba(232,232,232, 0.8);}#mermaid-svg-zrUVHySvFlWcPoV7 .labelBkg{background-color:rgba(232, 232, 232, 0.5);}#mermaid-svg-zrUVHySvFlWcPoV7 .cluster rect{fill:#ffffde;stroke:#aaaa33;stroke-width:1px;}#mermaid-svg-zrUVHySvFlWcPoV7 .cluster text{fill:#333;}#mermaid-svg-zrUVHySvFlWcPoV7 .cluster span{color:#333;}#mermaid-svg-zrUVHySvFlWcPoV7 div.mermaidTooltip{position:absolute;text-align:center;max-width:200px;padding:2px;font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:12px;background:hsl(80, 100%, 96.2745098039%);border:1px solid #aaaa33;border-radius:2px;pointer-events:none;z-index:100;}#mermaid-svg-zrUVHySvFlWcPoV7 .flowchartTitleText{text-anchor:middle;font-size:18px;fill:#333;}#mermaid-svg-zrUVHySvFlWcPoV7 rect.text{fill:none;stroke-width:0;}#mermaid-svg-zrUVHySvFlWcPoV7 .icon-shape,#mermaid-svg-zrUVHySvFlWcPoV7 .image-shape{background-color:rgba(232,232,232, 0.8);text-align:center;}#mermaid-svg-zrUVHySvFlWcPoV7 .icon-shape p,#mermaid-svg-zrUVHySvFlWcPoV7 .image-shape p{background-color:rgba(232,232,232, 0.8);padding:2px;}#mermaid-svg-zrUVHySvFlWcPoV7 .icon-shape .label rect,#mermaid-svg-zrUVHySvFlWcPoV7 .image-shape .label rect{opacity:0.5;background-color:rgba(232,232,232, 0.8);fill:rgba(232,232,232, 0.8);}#mermaid-svg-zrUVHySvFlWcPoV7 .label-icon{display:inline-block;height:1em;overflow:visible;vertical-align:-0.125em;}#mermaid-svg-zrUVHySvFlWcPoV7 .node .label-icon path{fill:currentColor;stroke:revert;stroke-width:revert;}#mermaid-svg-zrUVHySvFlWcPoV7 :root{--mermaid-font-family:"trebuchet ms",verdana,arial,sans-serif;} OA网络 10.0.0.0/24
防火墙 被误称IT交换机
设备局域网 192.168.1.0/24
设备 1
二层交换机
设备 2
设备 N
防火墙

接口1: 192.168.1.100/24

接口2: 10.0.0.100/24
OA目标服务器

10.0.0.50

5.2 设备角色

• 二层交换机：只做设备汇聚，无安全功能。
• 防火墙：核心安全隔离设备，配置为三层路由模式。接口1接设备侧，接口2接OA侧，分别配置相应网段IP。
• OA目标服务器：单网卡接入OA网络，仅被动接收数据。

5.3 数据流转与安全控制

1. 设备发送

   设备产生的数据（如HTTP POST）目的地址为OA服务器 10.0.0.50:8080。由于目标不在本网段，设备将数据帧的目的MAC设为防火墙接口1的MAC（192.168.1.100），目的IP仍为 10.0.0.50。

2. 防火墙接收与检查

   防火墙在接口1收到帧后，执行以下安全策略：

   • 访问控制 ：检查源IP是否属于允许的设备网段，目的IP/端口是否为 10.0.0.50:8080。
   • 状态检测：确认该会话是由设备侧主动发起，若OA侧试图发起连接，直接丢弃。
   • 应用层过滤（可选）：对HTTP载荷进行深度包检测，阻断异常请求。
   • 日志记录：记录会话详情，用于审计。

3. 防火墙转发

   检查通过后，防火墙查找路由表，确定应从接口2送出。将帧头替换为：源MAC = 接口2的MAC，目的MAC = OA服务器的MAC（通过ARP获取）。IP包头保持不变。

4. OA服务器接收

   服务器从OA交换机收到数据帧，处理业务数据。其网络协议栈完全不知设备网络的存在，也无法向设备网络主动发起连接（防火墙状态检测会拦截）。

5.4 安全效果

• 无双脚服务器：所有设备、服务器均为单网卡。
• 逻辑单向：虽然物理连接是双向的，但防火墙的策略保证了只有从设备侧主动发起的、符合规则的数据流能通过，反向连接被状态检测机制阻断。
• 安全域隔离：设备网与OA网在链路层不直接相连，三层转发受防火墙严格控制。

---

6. DMZ的补充说明

DMZ（隔离区）是在内、外网之间划分的一个中间安全域，常用于放置需要被外部访问的服务器。

与本方案的关系

• 当前防火墙方案可以不使用DMZ，防火墙直接连接OA目标服务器。
• 如需更高安全等级，可在防火墙与OA内网之间添加DMZ交换机，将数据接收服务器部署在DMZ中，再通过另一道防火墙策略向内网转发。这样即使接收服务器被攻陷，也无法直接访问OA核心内网。
• DMZ的创建可以利用现有防火墙划分独立接口和网段实现，成本极低。

---

7. 成本分析

成本项	防火墙方案	单向网闸方案（对比）
核心硬件	利用现有防火墙：0元；新购入门级：数千至数万元	单向网闸：数万至十几万元
采集服务器	不需要（设备直接发送）	需要，数千至一两万元
部署实施	配置防火墙策略，工作量和风险低	开发采集程序，联调，工作量大
总成本	极低甚至零成本	较高

---

8. 总结与合规原则

原始说法的技术还原

• "IT交换机" = 硬件防火墙（外观相似，口误）。
• "转一道" = 防火墙执行三层路由，进行拆包、检查、重封装的转发过程。
• "接入OA域里的服务器" = 防火墙出接口直接或通过DMZ连接OA网络，OA服务器被动接收数据。

必须坚守的安全原则

• ❌ 不双接：禁止任何服务器跨接两个安全域。
• ❌ 不直连：禁止用普通交换机在二层直接连通两个安全域。
• ✅ 严格受控流向：通过防火墙（或更高级别的单向网闸）确保数据流仅从低安全域流向高安全域，拒绝反向连接。

方案选择决策

• 如果安全基线仅要求禁止双脚服务器，且允许逻辑隔离 → 采用防火墙方案，成本最低，部署最快。
• 如果要求物理单向隔离（等保三级以上或涉密系统）→ 采用单向网闸 + 采集服务器方案。