公司财务部突然发现,销售部电脑连上了他们的共享文件夹;运维同事在排查问题时,发现测试环境的漏洞扫描流量直接扫到了生产数据库——这些都不是偶然,而是网络边界模糊惹的祸。
隔离不是画个圈,而是按角色切子网
很多企业一说“网络隔离”,第一反应是加防火墙、开ACL。但真正管用的第一步,其实是子网划分。不是为了凑CIDR掩码好看,而是让不同职能的设备天然不在一个广播域里。比如把财务、HR、研发、访客WiFi各自分到独立子网:
192.168.10.0/24 → 财务系统(含ERP服务器、终端)
192.168.20.0/24 → 研发办公(含GitLab、Jenkins)
192.168.30.0/24 → 访客无线(NAT出口,禁止访问内网)
192.168.40.0/24 → IoT设备(打印机、门禁、摄像头)别硬套/24,先看实际需求
有人习惯全用/24,结果一个部门才8台电脑,浪费250+个IP;也有人贪图省事,把整个楼层塞进一个/22,结果运维改个配置,全楼断网10分钟。真实场景中,建议按“最小够用+预留20%”来划:研发组当前50人,选/26(62可用IP),比/24更干净,路由表也清爽。VLAN ID和子网最好保持对应,比如VLAN 10 ↔ 192.168.10.0/24,排查时一眼就能对上。
物理隔离做不到?那就靠三层策略兜底
有些老设备不支持VLAN,或者临时工位没配线架,这时纯靠物理隔离不现实。可以启用三层ACL或防火墙策略,在汇聚层限制跨子网访问。例如禁止192.168.30.0/24(访客)主动连接192.168.10.0/24(财务)任何端口:
deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip any any子网不是一劳永逸,得跟着业务动
上个月新设的合规审计小组,要定期调取各系统日志,就得给他们的终端单独开一个子网(比如192.168.50.0/26),再在防火墙上开通对各业务子网的只读端口(如514、9200)。一旦组织架构调整或新增云服务,子网规划表就得同步更新——我们用Excel维护一份《子网分配台账》,谁申请、用途、负责人、到期时间都写清楚,避免三年后没人记得192.168.99.0/24当初是给什么项目留的。