企业局域网内外网分离方案
一些企事业单位出于安全考虑,需要做内外网分离。举例来说,需要达到如下的技术要求:
- 生产网、办公网、外网三网隔离。
- 启用网络准入,对非规定允许接入的设备禁止其接入网络。
- 上网数据留存。
在本文中,我将结合WSG上网行为管理来阐述如何实现内外网分离。
1. 划分VLAN使生产网、办公网、外网三网隔离
要实现三网隔离,首先需要创建三个VLAN,分别是生产网段、办公网段、外网网段(wifi)。并且对每个网段设置不同的网络权限。具体步骤如下:
然后配置防火墙策略,禁止网段之间的互访。
2. 配置各网段的外网策略
2.1 完全禁止生产网段访问外网
2.2 办公网段采用严格的IP-mac绑定,只有允许的终端设备才可以接入
2.3 对外网WiFi开启实名认证,并且记录上网内容。
经过上述配置后,即可满足局域网内外网分离的安全需要,并且实现全网上网行为管理和上网日志审计,大幅度提高企事业的网络安全。