网络隔离是很多企业会纠结的问题。办公网、监控网和访客网这三套网络,到底要不要分开?我的看法是:不仅应该分开,而且必须分开。这不是为了追求技术上的花哨,而是因为这三个网络承载的业务性质完全不同,安全要求和性能需求也天差地别。
办公网和监控网为什么要分开
很多人觉得监控就是摄像头连根网线,跟办公电脑混在一起也能用。这种想法很危险。办公网里跑的是员工电脑、打印机、文件服务器,这些设备经常要访问外网,会接触各种邮件附件和不明链接。一旦有人不小心中了勒索病毒,病毒会在局域网里横向扩散。如果监控摄像头也连在同一个网里,那整个监控系统就被"一锅端"了。更糟的是,有些黑客会先攻破办公网,然后顺着网络跳转到监控服务器,把录像删光再勒索你。分开后,即使办公网出了问题,监控系统依然独立运转,这是最基本的物理安全防线。
访客网单独隔离的必要性
访客网是专门给客户、合作伙伴或者临时来办事的人用的。这些人带来的设备五花八门,有些甚至自带病毒或木马。如果让访客直接连办公WiFi,等于让陌生人进了你家卧室。更实际的问题是,很多公司内部的共享文件夹、打印机、财务系统,都是默认开放给同一局域网设备的。访客一旦连进来,可能无意中就能看到不该看的东西。单独拉一张访客网,只开放互联网出口,禁止访客设备访问内部资源,这是成本最低的保护手段。有些公司嫌麻烦,把访客和员工混在一个SSID下,结果出了数据泄露事件,后悔都来不及。
分而不离的落地经验
说了要分开,但实际操作上也不是完全割裂。比如监控网和办公网之间,可以通过防火墙做单向访问控制。监控录像需要被办公网的安保软件调取查看,那就只开放特定端口和IP,其余全部拒绝。访客网则建议用独立的上网出口,或者至少用VLAN打上标签,配合ACL规则强制隔离。有些中小公司预算有限,买不起三台核心交换机,那就用一台支持VLAN的交换机做三层隔离,效果也够用。关键是规则要写得严,不能图省事开个"全通"策略。
网络隔离这件事,做早了是省钱,做晚了是花钱买教训。办公、监控、访客这三张网,本质上是三种不同的信任等级。把它们混在一起,等于用一张网承担了所有风险,一旦出事就是连锁反应。所以我的建议是:能分就分,别犹豫。