很多中小企业的内网是"大平层"结构——所有员工、服务器、访客设备共享同一个网段,任何一台电脑中毒后可以横向扫描整个网络。合理的访问控制架构应该从网络层就开始隔离,而不是依赖终端杀毒软件的事后补救。
一、VLAN划分的基本思路
VLAN(虚拟局域网)是网络访问控制的基础。按照功能将网络划分为不同区域:
- 办公区VLAN(如VLAN 10):普通员工电脑,可访问互联网和办公系统,不能直接访问服务器核心区。
- 服务器区VLAN(如VLAN 20):ERP、文件服务器、数据库等核心系统,只允许必要端口的入站访问。
- 访客区VLAN(如VLAN 30):提供上网服务,完全隔离内网,不能访问任何内部资源。
- 管理区VLAN(如VLAN 99):网络设备的管理接口,只有IT管理员可以访问。
二、防火墙ACL策略设计
VLAN间通信通过三层交换机或防火墙控制,核心原则是"最小权限"——默认拒绝,只开放必要的通信路径:
- 办公区→服务器区:只允许特定端口(如80/443/8080应用端口、445文件共享),拒绝SMB端口的横向扫描。
- 服务器区→办公区:一般设为拒绝主动连接,只允许已建立连接的回包(状态检测防火墙可自动处理)。
- 访客区→任何内网:全部拒绝,只允许访问互联网。
三、802.1X端口认证
VLAN划分后,如何防止员工私接设备进入受保护VLAN?802.1X是标准答案。通过在交换机接口上启用802.1X,配合Radius服务器(可使用Windows NPS或FreeRadius),实现"未认证设备不得入网"。未通过认证的设备会被自动划入访客VLAN或拒绝。
四、落地建议
访问控制体系的建设不宜一步到位,建议分阶段推进:先划VLAN做隔离,再配ACL做精细化控制,最后上802.1X做设备准入。每个阶段都能带来明显的安全提升,同时避免一次性变更引发的业务中断风险。另外,每季度应审查一次ACL规则,删除不再需要的例外权限,防止策略随时间腐化。