为什么需要网络隔离
公司刚搬进新办公楼,IT 部门第一件事不是装路由器,而是划 VLAN。你可能觉得奇怪,网络通了不就行?但真出过事就知道厉害。上周隔壁部门小李的电脑中了勒索病毒,没做隔离,结果整个财务系统的文件全被加密。这种事,防比救重要得多。
网络隔离的核心,就是不让所有设备“混在一起”。就像小区有单元门、楼层有防盗门,数据流动也得一层层设卡。常见的做法是按部门、设备类型或安全等级划分区域,比如办公网、生产网、访客 Wi-Fi 各自独立。
第一步:明确隔离边界
别一上来就配交换机。先画张图,标清楚哪些系统必须分开。比如收银系统和员工手机不能在一个网段,工业控制设备要单独成网。有些行业还有硬性要求,像等保 2.0 就规定数据库服务器必须与其他业务隔离。
实际操作中,可以用 IP 段来区分。例如:
- 192.168.10.0/24 —— 办公终端
- 192.168.20.0/24 —— 服务器区
- 192.168.30.0/24 —— 访客网络
第二步:配置 VLAN 与子网
在核心交换机上创建 VLAN 是基础操作。以华为交换机为例:
system-view
vlan 10
name OFFICE
vlan 20
name SERVER
vlan 30
name GUEST接着给接入交换机的端口分配 VLAN。比如会议室的 AP 接在 port 5,就划入 VLAN 30:
interface GigabitEthernet0/0/5
port link-type access
port default vlan 30第三步:设置路由与访问控制
VLAN 划好了,还得控制它们之间能不能通信。这时候靠 ACL(访问控制列表)或者防火墙策略。比如只允许办公网访问服务器区的 80 和 443 端口,其他一律拒绝。
在防火墙上写一条规则:
rule name ALLOW_HTTPS
source-zone trust
destination-zone dmz
destination-address 192.168.20.100 mask 255.255.255.255
service https
action permit同时默认策略设为 deny,确保没有明确放行的流量统统被拦下。
第四步:无线网络的特殊处理
访客连 Wi-Fi 最容易出问题。很多人习惯连完 Wi-Fi 再蹭内网打印机。解决办法是用不同的 SSID 绑定不同 VLAN,并关闭跨网段互访。比如在 AC 上配置:
wlan service-template GUEST
vlan 30
authentication-method open-system
service-template enable这样访客就算连上了,也只能上网,碰不到内部资源。
第五步:测试与监控
策略上线后,拿台测试机分别 ping 各个区域,验证是否符合预期。比如从访客网络不应该能 ping 通 192.168.10.1(办公网关)。同时开启日志记录,重点关注被拒绝的连接请求,有时候异常流量就是攻击前兆。
有个客户之前忽略了日志,结果黑客用了半年才被发现。后来一查,防火墙早就记了上千条对数据库的非法访问,可惜没人看。
持续调整才是常态
网络不是一劳永逸的事。新上了个 IoT 温控系统,就得新开一个 VLAN;临时来了外包团队,可以建个限时生效的访客账号,到期自动失效。定期review策略,删掉过时的规则,避免策略臃肿导致误判。
做得好的公司,每季度都会跑一次渗透测试,模拟攻击者尝试横向移动,看看隔离防线牢不牢。这才是真正把安全落到地上。