在一位客户那里,我发现他们为他们的业务购买了一个大型公共互联网 IP 地址子网,并将所有计算机连接到公共 IP 地址。(几年前购买的,从未改变过,/18 大小的网络)
出于安全原因,他们在网络边缘的两个路由器之间创建了一个路由循环,作为临时的位桶,以限制所有直接从互联网对网络的访问,并通过代理运行 http。
虽然我猜测路由循环可以作为临时的位桶并且是一种良好的做法,但这是否存在安全问题?
使用路由循环来拒绝网络流量是否会带来合法的安全风险?
答案1
不,这不合理,而且浪费资源。黑洞流量的正常方法是将其路由到空接口,或者如果所用路由器品牌不支持这种功能,则路由到环回接口。
再说了,这并不像在私有网络上使用公共 IP 地址那样浪费资源。
答案2
路由循环听起来像是完全浪费资源,而空路由地址空间将使用最少的路由器资源。
但是,要限制对 HTTP 服务的访问,使用老式的访问列表听起来是个好主意。如今,大多数路由器都具有不错的 ACL 功能,甚至可以使用其中一种现代防火墙。