企业局域网内外网分离方案

一些企事业单位出于安全考虑，需要做内外网分离。举例来说，需要达到如下的技术要求：

1. 生产网、办公网、外网三网隔离。
2. 启用网络准入，对非规定允许接入的设备禁止其接入网络。
3. 上网数据留存。

在本文中，我将结合WSG上网行为管理来阐述如何实现内外网分离。

1. 划分VLAN使生产网、办公网、外网三网隔离

要实现三网隔离，首先需要创建三个VLAN，分别是生产网段、办公网段、外网网段（wifi）。并且对每个网段设置不同的网络权限。具体步骤如下：

然后配置防火墙策略，禁止网段之间的互访。

2. 配置各网段的外网策略

2.1 完全禁止生产网段访问外网

2.2 办公网段采用严格的IP-mac绑定，只有允许的终端设备才可以接入

2.3 对外网WiFi开启实名认证，并且记录上网内容。

经过上述配置后，即可满足局域网内外网分离的安全需要，并且实现全网上网行为管理和上网日志审计，大幅度提高企事业的网络安全。