网络隔离不是把设备锁进小黑屋
很多公司一听到“网络隔离”就想到断网、禁用USB、所有电脑不能互访,搞得员工连打印机都连不上。其实真正的网络隔离,是让设备在安全的前提下,该通信的通信,该隔离的隔离。比如财务部的电脑和生产线的工控机,压根不该在一个局域网里跑,否则一台中了勒索病毒,整个工厂都可能停摆。
划分VLAN:给不同设备分楼层住
就像写字楼按楼层分配部门,VLAN(虚拟局域网)能把一个物理网络切成多个逻辑网络。行政用10.1.1.x,研发用10.2.2.x,门禁系统单独一个VLAN,彼此看不见。配置交换机时,只需要给端口打上对应VLAN标签就行。
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10这行命令的意思,就是把第一个网口划进VLAN 10。插在这上面的电脑,自然就归到行政网络去了。
防火墙策略:谁可以访问谁,一条条说清楚
光分开了还不够,有些跨部门协作还得通。比如HR要从服务器导考勤数据,就得允许HR电脑访问特定服务器的某个端口。这时候靠防火墙写规则:
rule name allow-hr-to-server
source-zone trust
destination-zone server-zone
destination-address 10.5.5.100 mask 255.255.255.255
service http https
action permit这条规则只放行HR区域访问目标服务器的80和443端口,其他端口一律拦下。既满足业务需求,又不扩大风险暴露面。
设备准入控制:先体检再入网
新买的扫码枪、临时接入的笔记本,不能随随便便就连进来。用NAC(网络准入控制)系统,设备一插网线,先检查有没有装杀毒软件、系统补丁是否更新。没问题才放行到对应区域,否则扔进隔离区只能访问升级服务器。
某公司就吃过亏,保洁阿姨用个人手机连了内网WiFi,结果手机里的恶意APP自动扫描并上传了共享文件夹里的客户名单。后来上了802.1X认证,没登记的设备连IP都拿不到。
无线网络也得隔离
别以为只有有线才需要管。很多办公室Wi-Fi所有人连同一个SSID,销售拿手机就能ping通财务的电脑。应该建多个无线网络:员工用一个,访客用一个,IoT设备(如智能空调、会议室预约屏)再单独一个。每个SSID绑定不同VLAN,互不打扰。
访客连上Wi-Fi后,跳转的登录页面还能加个使用协议,顺便留个手机号,出了事能追溯。
日志和监控不能少
设备隔离了,不代表万事大吉。交换机、防火墙要统一开启日志,记录关键操作和异常访问。比如某台设备突然疯狂扫描其他IP,系统能自动告警,管理员就能第一时间处理。某制造企业就靠这条发现了一台被挖矿的测试机,及时断网止损。
网络隔离不是一劳永逸的事,设备会变,业务会变,隔几个月就得重新梳理一遍策略。定期看看哪些规则没人用了,哪些设备换了位置,及时调整,才能让隔离真正起作用。