用 VLAN 进行网络分段:为什么以及怎么做
把所有设备放在同一个扁平网络中很方便……直到有东西被感染。VLAN 能把损害控制住。
扁平网络意味着任何设备都能与其他任何设备通信。如果一台机器沦陷,攻击者就能在整个网络中自由横向移动。
核心思路
VLAN 把一台物理交换机划分成相互隔离的逻辑网络。一个网络上的流量不会到达另一个网络,除非它经过你设定规则的路由器/防火墙。
小型企业的典型方案
- VLAN 10 — 办公区: 工作站。
- VLAN 20 — 服务器: 受限访问。
- VLAN 30 — 访客 / WiFi: 可以上网,但不能访问内网。
- VLAN 40 — IoT / 摄像头: 尽可能隔离。
关键所在
只有当 VLAN 之间的防火墙默认拒绝,并且你只放行必要的流量(例如办公区 → 服务器仅在特定端口上,其余一律不放行)时,分段才真正有效。
分段无法阻止他们进来,但能在他们进来后阻止他们拿走一切。
#网络#vlan#分段#安全