内网接入限制(MAC地址白名单)
只允许信任设备接入内网,且每次自动获取的IP地址不变(后续就可根据IP地址控制访问权限)
开启DHCP服务根据MAC地址静态分配固定IP地址
只允许可信的DHCP服务器分配IP地址(防止私建DHCP服务器)
DHCP Snooping 信任接口(DHCP服务器所在方向接口)
DHCP Snooping 非信任接口(终端设备接入接口)
禁止未登记MAC的电脑和手动配置IP的电脑接入网络(阻止非信任设备接入,阻止信任设备手动换IP地址)
DHCP Snooping IP源防护/动态ARP监测/绑定表生成接口MAC地址表项
禁止网络中的电脑看到其他电脑的MAC地址(可降低MAC地址盗用风险)
开启端口隔离(同交换机内隔离)
开启SuperVLAN隔离广播域(不开启Proxy ARP)(跨交换机间隔离)
限制内网互通(降低安全威胁内部扩散)
办公电脑 <-禁止-> 办公电脑
接入交换机开启端口隔离实现二层隔离
跨交换机使用SuperVLAN进行隔离,且不开启内部转发
办公电脑 <-限制-> 打印机
办公电脑和打印机分属两个VLAN两个网段,通过3层转发互通
打印机所在交换机接口配置ACL限制访问
办公电脑 <-限制-> 内部服务器
办公电脑和内部服务器分属两个VLAN两个网段,通过3层转发互通
服务器所在交换机接口配置ACL限制访问
内网办公电脑之间互传文件解决方案
SMB文件服务器(个人或部门使用)
自动挂载到电脑当普通分区使用(方便用户使用)
数据集中备份(增加数据存储安全)
文件权限控制(增加数据使用安全)
内网网盘应用(文件内部分享使用)
方便分享文件如百度网盘分享链接(可设置密码/有效期/接收人)
ACL
如内网不使用IPv6可通过ACL禁止所有IPv6流量
允许访问的个人IP地址/部门IP段地址
允许访问的管理员IP地址
控制是否允许上网
打印机推荐禁止使用互联网
服务器根据情况选择是否允许其使用互联网
示例:
配置说明
核心交换机
开启SuperVLAN
SuperVLAN 1000 绑定IP接口地址 192.168.32.1/19 不开启arp
SubVLAN 101 给接入交换机1
SubVLAN 102 给接入交换机2
开启VLAN 10 绑定IP接口地址 192.168.10.1/24 给打印机用
开启DHCP服务,静态分配IP地址
内网办公电脑 pool 192.168.32.1 - 192.168.63.254
MAC 0000-0000-0001 分配IP 192.168.33.2/19 业务部
MAC 0000-0000-0002 分配IP 192.168.34.2/19 财务部
MAC 0000-0000-0003 分配IP 192.168.35.2/19 技术部
内网打印机 pool 192.168.90.1 - 192.168.90.254
MAC 0000-1111-0001 分配IP 192.168.90.2/24 打印机
内网服务器
内网服务器 pool 192.168.200.1 - 192.168.200.254
接入交换机
开启dhcpsnoop
上联口开启DHCP信任端口
终端接口
终端接口开启端口隔离
终端接口可配置入方向ACL
禁止IPv6流量
配置可访问的IP个人或部门段(打印机或服务器)
禁止上网(打印机或服务器)
内网安全应用服务器
时间同步
开启NTP服务
日志中心
开启rsyslog服务接收保存并分析内网设备日志
示例脚本:解析交换机日志(设备被登录/ACL允许或拒绝等情况)
网络监控
看内网流量情况及设备掉线报警
示例脚本:SNMP查询
示例脚本:自动发邮件
配置备份
示例脚本:下载网络设备运行配置和配置文件
示例脚本:分析同个配置变化情况
示例脚本:查询ACL情况(查询某个IP被哪个ACL阻止或放行)
示例脚本:自动发邮件
文件共享
开启SMB服务
示例脚本:增量备份和全量备份
