内网服务器映射到公网的安全问题（某单位有个控制内网接入安全访问外网需求）

这个单位出于安全考虑，想对接入的用户端电脑，全部管控防止非法接入，不希望随便外来人员进来后 配个IP 就能上网。来探讨下怎么解决这个问题

首先我们在出口防火墙上基于IP创建一条免认证策略，源地址为已知PC机IP 免认证登录，这些IP可直接上网

其次在防火墙上做一个any认证策略，所有内网IP都必须接受认证，否则不能上网。品一下这个逻辑，这样就解决了非法人员拿到IP 后也需要认证上网，因为他不在允许免认证IP里。他是通过不了认证的，自然无法上外网

防火墙这样设置以后，如果是DHCP自动分配的地址，那么还需要绑定IP与MAC,有才的用户如果还要简单点的话也可以直接设置DHCP租约一万年这么久也成！解决需求、这样也能应付了！

题外话，如果这个外来人员拿的是有权限上网的IP 呢？也就是配成免认证里的IP，那么该怎么解决这个问题非法冒用呢？我们往下看

先简单看下华为的安全绑定技术，提供个正经思路给有缘人

IPSG：简单说就是3层设备会维护生成一张表，想接入的报文必须符合这张表里所维护的

源IP ，MAC， 接口，VLAN 都匹配 ，才会允许通过。

顺手DAI是动态绑定ARP，主要防止中间人ARP攻击，不在本文讨论之列，

如果我来管理的话 ，会做个静态的IPSG DAI 或许可以解决 ，实在不行咱就端口一个个绑定也没多大事！有缘人主要领会套路，具体技术细节看需求灵活使用