很多中小企业的办公室里,员工用同一张网络办公,财务在传报表,前台连着打印机,老板偶尔看看监控,技术还在调试新上线的服务器。看起来挺方便,可一旦某个设备中了病毒,整个网络都可能被拖垮。
为什么要做网络隔离
你有没有遇到过这种情况:某个员工电脑中毒,结果全公司断网,查了半天才发现是有人点了钓鱼邮件。问题就出在所有设备都在一个局域网里,没有隔离。攻击者一旦进入,就像进了没锁门的小区,想进哪栋进哪栋。
网络隔离的本质,就是把不同用途的设备划分到不同的网络区域,彼此看不见、碰不着。哪怕某一部分出事,其他部分还能照常运转。
从最简单的VLAN开始
大多数中小企业用的都是普通路由器和交换机,其实只要支持VLAN功能,就能实现基础隔离。比如把财务、人事单独划一个VLAN,IT设备一个VLAN,访客Wi-Fi再单独一个。
假设你用的是常见品牌如华为或H3C的交换机,配置VLAN并不复杂:
system-view
vlan 10
name Finance
vlan 20
name Guest_WiFi
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20这样,财务电脑插在端口1,访客连在端口2,两者之间默认无法通信,就算在同一台交换机上也不影响。
用子网配合路由控制访问
VLAN分开了广播域,但还得配上IP子网才能真正隔离。比如财务用192.168.10.0/24,监控系统用192.168.20.0/24,打印机用192.168.30.0/24。
路由器上设置静态路由,只允许特定子网互通。比如监控系统可以被管理员访问,但不能访问财务网络:
ip route-static 192.168.10.0 255.255.255.0 GigabitEthernet0/0/1
ip route-static 192.168.20.0 255.255.255.0 GigabitEthernet0/0/2
# 不添加反向路由,即限制访问别忘了无线网络的隔离
很多公司给客户开个Wi-Fi,密码贴在墙上。这相当于把内网大门钥匙也给了外人。建议启用AP的“客户端隔离”功能,让连Wi-Fi的人互相不能访问,更不能扫到内部服务器。
如果你用的是TP-Link或华三的AP,在管理界面找到“无线安全”里的“隔离模式”,打开即可。有些型号还支持多SSID,直接绑定不同VLAN,一个AP发多个网络信号,干净利落。
关键设备单独组网
像监控NVR、POS收银机、工业控制器这类设备,本身安全性弱,又承担重要任务,最好物理隔离。可以用一台独立的小型路由器专门带它们,不接任何办公设备,再通过防火墙规则限制谁能访问。
比如一家咖啡馆,收银机和监控走单独线路,主网络故障时,收款还能照常进行。
定期检查与权限清理
网络隔离不是一劳永逸的事。员工离职后账号不清,老设备长期挂着没人管,都会成为漏洞。建议每季度做一次网络扫描,用工具如Advanced IP Scanner查看当前在线设备,发现陌生IP及时排查。
同时,核心路由器和交换机的管理密码要定期更换,别让所有人都知道登录方式。最小权限原则——谁需要谁才能访问,别图省事设个万能密码。