一些企事業單位出于安全考慮,需要做內外網分離。舉例來說,需要達到如下的技術要求:
-
生產網、辦公網、外網三網隔離。
-
啟用網絡準入,對非規定允許接入的設備禁止其接入網絡。
-
上網數據留存。
在本文中,我將結合WSG上網行為管理來闡述如何實現內外網分離。
1. 劃分VLAN使生產網、辦公網、外網三網隔離
要實現三網隔離,首先需要創建三個VLAN,分別是生產網段、辦公網段、外網網段(WiFi)。并且對每個網段設置不同的網絡權限。具體步驟如下:
然后配置防火墻策略,禁止網段之間的互訪。
2. 配置各網段的外網策略
2.1 完全禁止生產網段訪問外網
2.2 辦公網段采用嚴格的IP-MAC綁定,只有允許的終端設備才可以接入
2.3 對外網WiFi開啟實名認證,并且記錄上網內容。
經過上述配置后,即可滿足局域網內外網分離的安全需要,并且實現全網上網行為管理和上網日志審計,大幅度提高企事業的網絡安全。
