公司刚搬进新办公楼,IT 小李忙着搭网络。以前所有设备都在一个局域网里,打印机、财务电脑、前台接待机全在一个网段。有次前台的电脑中了木马,病毒顺着内网直接传到财务系统,差点出大事。这次他学乖了,上来就做子网划分。
子网不是为了分房间,而是为了设防线
很多人以为子网只是为了管理方便,比如把销售部和行政部分开。其实更关键的是安全隔离。就像小区里的楼栋,每栋加一道门禁,陌生人就算进了小区,也进不了你家。
举个例子,把监控摄像头单独划到 192.168.10.0/24 网段,办公电脑放在 192.168.20.0/24,服务器再放 192.168.30.0/24。不同子网之间默认不通,必须通过路由器或防火墙控制访问规则。
限制横向移动,病毒跑不远
一旦某台设备被攻破,攻击者通常会尝试“横向移动”,扫描同一网段的其他主机。如果整个公司都在 192.168.1.0/24 里,一台中毒,全网告急。但做了子网后,攻击者即使拿下前台电脑,也无法直接扫描到财务系统的 IP,因为它们不在同一个广播域。
可以通过 ACL(访问控制列表)进一步收紧权限。比如只允许财务组访问服务器子网,其他部门一律禁止:
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 101 deny ip any 192.168.30.0 0.0.0.255敏感服务隐身,减少暴露面
有些服务本就不该被所有人访问。比如备份服务器每天凌晨执行任务,IP 是 192.168.30.10。如果不做隔离,员工随便装个扫描工具就能发现它。一旦被盯上,可能成为突破口。
把它藏在独立子网,再配合防火墙策略,只允许指定备份客户端连接,外部根本探测不到它的存在。这就像你家保险柜不放在客厅,而是锁在书房暗格里。
日志更清晰,出事好查账
某天发现异常流量,一看日志来源是 192.168.10.15 —— 这是监控子网的摄像头。立刻知道问题出在设备层,不用怀疑办公电脑是否中毒。子网让流量归属更明确,排查效率高很多。
家庭用户也能用这思路。家里智能灯泡、温控器这些 IoT 设备单独建个 VLAN,手机和笔记本另分一组。哪怕灯泡被黑,也别想顺藤摸到你的银行 App。