物理隔离:最直接的防线
公司刚起步的时候,可能所有设备都在一个局域网里,打印机、财务电脑、开发服务器全在一个网段。一旦某台电脑中了勒索病毒,整个网络都可能被加密。这时候,物理隔离就成了最简单粗暴的办法——把关键系统单独接一台交换机,不和其他设备连通。比如财务部的电脑完全独立布线,连不上研发网络,黑客就算攻陷了前端网站,也拿不到工资表。
这种方案成本高,扩展性差,但胜在干净利落。医院的核心诊疗系统、工厂的PLC控制网络,很多还在用这种方式。
VLAN 划分:办公室里的虚拟围墙
大多数企业用的是 VLAN(虚拟局域网)来做隔离。比如一栋办公楼三层,一楼是前台和访客,二楼是销售,三楼是研发。通过交换机配置,把不同楼层划分到不同的 VLAN,彼此无法直接通信。
配置起来也不复杂,在交换机上设置:
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10 <!-- 前台 -->
!
interface GigabitEthernet0/2
switchport mode access
switchport access vlan 20 <!-- 研发 -->再配合三层交换机或防火墙做策略控制,就能实现“能上网,但不能互访”的效果。新员工入职配错端口也不会轻易串网段,管理起来方便多了。
防火墙策略:精细化的门禁系统
VLAN 解决了广播域的问题,但有时候还需要更细的控制。比如研发可以访问测试服务器,但测试不能反过来访问研发内网。这就得靠防火墙写规则。
常见做法是在核心交换机后接一台防火墙,或者用带防火墙功能的路由器。比如华为 USG 或 FortiGate 设备,可以设定:
源区域:研发区
目标区域:测试区
服务:TCP/3306(MySQL)
动作:允许
源区域:测试区
目标区域:研发区
动作:拒绝就像公司大门的门禁系统,谁能在几点进出哪个区域,一条条列清楚。运维人员改个配置,就能快速响应安全需求。
微隔离:云时代的精细管控
上了云之后,传统网络边界模糊了。一台虚拟机可能早上跑订单处理,下午就变成数据分析节点。这时候 VLAN 和物理防火墙就不够用了。
微隔离(Micro-segmentation)应运而生。它不依赖 IP 地址,而是基于标签、应用角色来控制流量。比如 Kubernetes 集群里,给“支付服务”打上标签,只允许“订单服务”调用,其他一概拒绝。
像 NSX、Calico 这类工具可以在宿主机层面拦截东西向流量,哪怕两个容器在同一台机器上,也能做到互不相通。相当于在每间办公室门口加了指纹锁,不是本部门的根本进不去。
零信任网络:默认谁都不信
最近几年流行零信任(Zero Trust),核心思想是“从不自动信任,始终验证”。不管你在公司内网还是外网,每次访问系统都要认证授权。
比如员工连上公司 Wi-Fi,想访问 CRM 系统,系统不会因为他在内网就放行,而是要求登录账号、验证设备指纹、检查是否安装了杀毒软件,全部通过才允许连接。
实现方式通常是 SDP(软件定义边界)+ IAM(身份识别与访问管理)组合。用户看不见服务,服务也看不见用户,只有经过认证后才建立临时通道。就像银行金库,哪怕你是行长,开门也得刷卡+密码+人脸识别。