公司刚搬进新办公楼,IT 小李正忙着调试网络。结果第二天财务部就炸了锅——有人用内网打印机把工资表打出来了。一查,是市场部新来的小张误连了内部系统。这种事听起来像段子,但在不少企业里真不少见。
为什么非得搞网络隔离?
很多公司一开始图省事,所有设备全扔一个局域网里。电脑、摄像头、打印机、会议室的智能电视,甚至饮水机都连着同一个 Wi-Fi。一台设备中了病毒,整个网络跟着瘫痪。前阵子公司服务器被挖矿程序拖垮,追查下来竟是一台没更新固件的网络摄像头成了跳板。
网络隔离就是把大网络切成几个小块,不同部门、不同用途的设备各走各路。就像小区里的单元楼,你住 3 栋不能随便串 5 栋的住户家。财务系统的数据库只对财务电脑开放,访客 Wi-Fi 别想碰内部服务器一根毛。
常见的隔离手段有哪些?
VLAN 是最常用的招数。在交换机上划分几个虚拟局域网,比如 VLAN10 给办公区,VLAN20 给访客,VLAN30 给 IoT 设备。它们物理上连在一起,逻辑上互相看不见。
interface vlan 10\n ip address 192.168.10.1 255.255.255.0\n!\ninterface vlan 20\n ip address 192.168.20.1 255.255.255.0\n!\naccess-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255\naccess-list 100 permit ip any any上面这段配置的意思是:访客网段(192.168.20.0)别想访问办公网段(192.168.10.0),其他流量放行。实际部署时还得配合防火墙策略,不然等于门上了锁,窗户大开着。
无线网络怎么隔离?
现在很多员工自带手机、平板连公司 Wi-Fi。建议直接设两个 SSID:Corp-WiFi 和 Guest-WiFi。前者需要账号密码认证,绑定到办公 VLAN;后者开个网页认证,自动扔进隔离区,只能上网,不能扫内网任何 IP。
有些路由器还支持客户端隔离(Client Isolation),打开之后连在同一 Wi-Fi 下的设备也互相 ping 不通。适合会议室这种多人临时接入的场景,避免有人用 ARP 工具乱扫。
别忘了物理隔离这招
核心系统最稳妥的方式还是物理隔开。比如财务的报税电脑单独拉一条线,不接交换机主干,连无线都不开。虽然看着土,但真出事时能少背锅。去年隔壁公司被勒索病毒锁了全盘,就因为会计电脑同时挂着内外网。
隔离不是为了防同事,而是防意外和漏洞。一套合理的网络隔离方案,能让问题止步于局部。改几条配置花不了半小时,真出事停摆一天损失可不止这点时间。