企业内网安全数据采集方案技术探索笔记

1. 问题背景与安全红线

业务需求
公司存在一个独立的设备局域网（例如192.168.1.0/24），内部有数十台生产设备或传感器，持续产生业务数据。需要让OA网络（例如10.0.0.0/24）中的某台服务器能够获取并汇总这些数据。

安全红线
公司信息安全策略明确规定：禁止双脚服务器。

• 双脚服务器：一台服务器配置两块或以上网卡，同时接入不同安全等级的网络（例如一块接设备网，一块接OA网）。
• 禁止原因：该服务器会成为两个安全域之间的跳板，一旦被攻破，攻击者可从低安全域横向移动到高安全域。

核心挑战
如何在不违反该基线的前提下，实现数据从设备局域网单向流入OA服务器？

2. 错误方案：用普通交换机直连两个网络

方案描述
将设备局域网内的二层交换机与OA网络的接入交换机直接用网线连通，使两个网络在二层合并。

安全风险

• 两个安全域之间的边界被彻底消除，OA网原有的防火墙、准入控制等防护对设备网内所有终端失效。
• 设备网内任意一台被控制的终端，可直接扫描、攻击OA网内的核心服务器，横向移动风险极高。
• 严重违背“禁止双脚”背后的安全域隔离原则，属于红线行为。

结论
该方案不可行，必须采用受控的、单向的数据交换方式。

3. 必备网络基础原理

理解合规方案前，需先掌握以下核心概念。

3.1 MAC地址与IP地址的分工

• MAC地址：网络接口的硬件地址，全球唯一，但结构扁平、无层次。寻址只能通过广播，无法在大规模网络中高效路由。
• IP地址：逻辑地址，采用网络号 + 主机号的层次化结构。路由器可通过网络号聚合路由条目，实现高效跨网段转发。
• 分工：IP负责端到端的全局寻址，MAC负责同一广播域内的最终交付。

3.2 二层交换机的工作原理

• 工作在数据链路层，根据帧头中的目的MAC地址转发。
• 维护一张“MAC地址—端口”映射表，转发时不查看、不修改IP包头。
• 交换机可配置管理IP，该IP仅用于远程管理设备，与数据转发无关。

3.3 同网段通信与跨网段通信

设备判断逻辑
源主机用自己的IP地址与子网掩码，同目的IP进行“与”运算。若网络号相同，为同网段；否则为跨网段。

同网段通信（例：192.168.1.10 → 192.168.1.20）

1. 源主机广播ARP请求：目标IP对应的MAC地址？
2. 目标主机回应自己的MAC。
3. 封装帧：目的MAC = 目标主机MAC，源MAC = 本机MAC。
4. 交换机根据目的MAC转发，帧不经过网关，MAC地址全程不变。

跨网段通信（例：192.168.1.10 → 10.0.0.50）

1. 源主机判断目标不在本网段，查找默认网关（如192.168.1.100）。
2. 源主机广播ARP请求：网关IP对应的MAC地址？
3. 网关回应自己的MAC。
4. 源主机封装帧：目的MAC = 网关MAC，目的IP = 最终目标IP（10.0.0.50）。
5. 交换机根据目的MAC将帧送至网关。
6. 网关处理：
   • 拆解帧头，读取IP包。
   • 查路由表找到出接口和下一跳。
   • 重新封装帧：源MAC = 网关出接口MAC，目的MAC = 下一跳（或最终目标）的MAC。
   • IP包头（源IP、目的IP）保持不变。
7. 数据包经后续路由设备重复此过程，直至到达目标网络，最终由最后一个网关封装目标主机MAC完成交付。

关键结论
跨网段转发时，每经过一跳路由器/三层设备，帧头的源、目的MAC均被替换，但IP包内的源IP和目的IP全程不变（除非使用NAT）。

3.4 二层交换机与三层设备的区别

• 二层交换机：仅根据MAC转发，无路由能力，无法连接不同网段。
• 三层交换机：具备基本路由功能，可跨网段转发，但安全控制能力弱（仅ACL）。
• 防火墙：具备路由功能，同时支持状态检测、深度包检测、应用层过滤等高级安全策略，适合做安全隔离。

4. 碎片信息还原与推理

根据讨论中逐步获得的信息，对原始方案进行还原：

已知碎片

• 设备网内只有一台二层交换机，没有采集服务器。
• 数据需通过二层交换机，经由一台被称为“IT交换机”的设备，再到达OA服务器。
• 不允许双脚服务器，不允许交换机直连。
• 方案中提到“转一道”。

推理过程

1. 二层交换机只能转发同网段流量，无法将数据送入OA网络，必须有一台能够执行跨网段路由的设备。
2. 那台被称为“IT交换机”的设备，其真实身份必然是具备三层转发能力的设备（三层交换机、防火墙或单向网闸）。
3. 考虑到没有采集服务器，且该设备需同时承担安全隔离职能，最合理的身份是防火墙——它既能通过三层路由“转一道”，又能通过状态检测和访问控制策略强制数据单向流动。
4. 单向网闸方案通常需要内网侧有采集服务器主动推送，与本场景不符，且成本更高。因此，防火墙方案最符合所有描述。

最终确认的方案
设备 → 二层交换机 → 防火墙（被误称为“IT交换机”） → OA网络中的目标服务器

5. 合规方案详解：防火墙三层路由模式

5.1 网络架构

5.2 设备角色

• 二层交换机：只做设备汇聚，无安全功能。
• 防火墙：核心安全隔离设备，配置为三层路由模式。接口1接设备侧，接口2接OA侧，分别配置相应网段IP。
• OA目标服务器：单网卡接入OA网络，仅被动接收数据。

5.3 数据流转与安全控制

1. 设备发送
   设备产生的数据（如HTTP POST）目的地址为OA服务器10.0.0.50:8080。由于目标不在本网段，设备将数据帧的目的MAC设为防火墙接口1的MAC（192.168.1.100），目的IP仍为10.0.0.50。

2. 防火墙接收与检查
   防火墙在接口1收到帧后，执行以下安全策略：

   • 访问控制：检查源IP是否属于允许的设备网段，目的IP/端口是否为10.0.0.50:8080。
   • 状态检测：确认该会话是由设备侧主动发起，若OA侧试图发起连接，直接丢弃。
   • 应用层过滤（可选）：对HTTP载荷进行深度包检测，阻断异常请求。
   • 日志记录：记录会话详情，用于审计。

3. 防火墙转发
   检查通过后，防火墙查找路由表，确定应从接口2送出。将帧头替换为：源MAC = 接口2的MAC，目的MAC = OA服务器的MAC（通过ARP获取）。IP包头保持不变。

4. OA服务器接收
   服务器从OA交换机收到数据帧，处理业务数据。其网络协议栈完全不知设备网络的存在，也无法向设备网络主动发起连接（防火墙状态检测会拦截）。

5.4 安全效果

• 无双脚服务器：所有设备、服务器均为单网卡。
• 逻辑单向：虽然物理连接是双向的，但防火墙的策略保证了只有从设备侧主动发起的、符合规则的数据流能通过，反向连接被状态检测机制阻断。
• 安全域隔离：设备网与OA网在链路层不直接相连，三层转发受防火墙严格控制。

6. DMZ的补充说明

DMZ（隔离区）是在内、外网之间划分的一个中间安全域，常用于放置需要被外部访问的服务器。

与本方案的关系

• 当前防火墙方案可以不使用DMZ，防火墙直接连接OA目标服务器。
• 如需更高安全等级，可在防火墙与OA内网之间添加DMZ交换机，将数据接收服务器部署在DMZ中，再通过另一道防火墙策略向内网转发。这样即使接收服务器被攻陷，也无法直接访问OA核心内网。
• DMZ的创建可以利用现有防火墙划分独立接口和网段实现，成本极低。

7. 成本分析

8. 总结与合规原则

原始说法的技术还原

• “IT交换机” = 硬件防火墙（外观相似，口误）。
• “转一道” = 防火墙执行三层路由，进行拆包、检查、重封装的转发过程。
• “接入OA域里的服务器” = 防火墙出接口直接或通过DMZ连接OA网络，OA服务器被动接收数据。

必须坚守的安全原则

• ❌不双接：禁止任何服务器跨接两个安全域。
• ❌不直连：禁止用普通交换机在二层直接连通两个安全域。
• ✅严格受控流向：通过防火墙（或更高级别的单向网闸）确保数据流仅从低安全域流向高安全域，拒绝反向连接。

方案选择决策

• 如果安全基线仅要求禁止双脚服务器，且允许逻辑隔离 → 采用防火墙方案，成本最低，部署最快。
• 如果要求物理单向隔离（等保三级以上或涉密系统）→ 采用单向网闸 + 采集服务器方案。