公司新上了套ERP系统,财务、研发、生产三拨人天天抢带宽,研发还总想连测试数据库——结果一不留神,测试环境的漏洞被扫到,差点把财务数据拖走。这种事不是个例,而是没做网络分区管理的典型后果。
网络分区不是画张图就完事
分区的核心就一条:让不该互通的设备,物理或逻辑上根本通不了。比如把财务系统单独放在一个VLAN里,连路由器ACL都配好了,但运维随手在防火墙上开了个any-to-any策略,等于门锁了,窗大开着。
实操四步走,不搞虚的
第一步:先理清业务流
拿纸笔列清楚:哪些系统必须和谁通信?比如HR系统要连OA,但绝不能碰服务器区;访客WiFi只能上外网,不能碰内网打印机。别信“大概知道”,得写下来,标出协议和端口(HTTP是80,数据库常用3306/1433)。
第二步:按角色切VLAN或子网
普通办公用192.168.10.0/24,服务器放192.168.20.0/24,IoT设备(像门禁、摄像头)单独扔192.168.30.0/24。交换机上这么配:
interface vlan 10
name OFFICE
ip address 192.168.10.1 255.255.255.0
!
interface vlan 20
name SERVERS
ip address 192.168.20.1 255.255.255.0第三步:防火墙定规则,宁紧勿松
默认全拒,只开白名单。比如允许财务VLAN访问ERP数据库,但只放3306端口,其他一律挡掉:
policy name FINANCE_TO_ERP
source-zone trust
destination-zone server
source-address 192.168.10.0/24
destination-address 192.168.20.100
service tcp-3306
action permit第四步:定期验效果
别等出事才查。每周挑两台办公电脑,用telnet或nc测一下:telnet 192.168.20.100 3306 —— 如果不通,说明隔离生效;如果通了,赶紧回溯哪条策略漏了。
容易踩的坑
• 无线AP默认桥接到办公VLAN,结果访客连进来就能扫内网;解决办法:给访客SSID单独配个VLAN,路由策略里禁止它访问任何内网段。
• 云服务器混着用,测试机和生产机都在同一个安全组;得按环境拆组,测试组只放开发IP,生产组只放运维跳板机IP。
• 还有更隐蔽的:打印机自带Web管理界面,默认开启,且没改密码——它在办公网,却能当跳板去探服务器网段。分区管的是网络层,终端安全也得跟上。
分区不是一次配置终身无忧的事。业务一变,权限就得重审;新设备上线,得立刻进分区清单。把它当成和打卡一样日常的事,而不是项目上线前应付检查的文档。