网络分段 - 最佳实践

概览

网络分段通过将企业网络划分为更小的网络部分来提高安全性并使管理更轻松。 本文重点介绍如何使用 Cato 管理应用程序利用 VLAN 网络分段,减少可能的网络入侵影响。 如果发生网络入侵,受感染的 VLAN 会被隔离,无法蔓延到整个网络。 VLAN 还可提供精细的访问控制,您可以创建防火墙规则来定义基于用户角色的访问控制。

使用 Cato Networks 进行网络分段

Cato 管理应用程序让您轻松为使用 Cato 套接字的站点定义 VLAN。 在站点的 网络部分使用 VLAN范围类型 来定义网络分段。 请参阅以下屏幕截图,了解虚拟局域网网络分段的示例(网络 > 站点 > 站点名称 > 站点配置 > 网络):

Sites_Network.png

然后您可以利用这些网络分段来提高站点的安全性。 例如,您可以为企业财务部门创建一个单独的 VLAN,并用它来创建 WAN 防火墙规则。 由于 VLAN 之间的流量通过 Cato 云路由,可能会对网络性能产生影响。 即使 VLAN 位于相同的物理位置,这种情况也是如此。

分段服务器以提高安全性

包含重要和敏感数据的服务器通常需要额外的安全层。 您可以将这些服务器隔离在一个单独的 VLAN 中,并限制对这些服务器的访问。 例如,您可以为公司总部的数据库服务器使用一个单独的 VLAN。

另一方面,应用服务器通常从公共互联网有入站访问,这可能构成潜在的安全风险。 我们建议您将这些服务器分配到一个单独的 VLAN 中,以防止攻击者访问内部和敏感服务器。 您可以将此虚拟局域网用作公用服务器的DMZ(非军事区)。

使用 VLAN 保护服务器和工作站

企业工作站和服务器可能对您的网络构成安全风险,因为如果工作站受到危害,它可能迅速传播到整个网络。 然而,当工作站处于单独的 VLAN 中时,您可以隔离该 VLAN,并阻止其连接到网络。 为了允许网络之间的通信,您必须为每个 VLAN 网络配置一个网关 IP 地址。 下方截图显示了服务器和工作站的独立 VLAN 示例:

servers_and_work.png

创建一个允许这些 VLAN 之间连接性的 WAN 防火墙规则。 如果您的网络中的其中一个工作站受到感染,您可以轻松禁用此规则,以防止感染传播到服务器。 在修复感染的工作站后,您可以重新启用该规则,以允许工作站和应用程序服务器之间的连接。

为不同类型用户划分网络

网络分段让您能够为组织内的不同用户组定义不同的访问权限级别。 例如,为管理、常规用户和访客定义独立的 VLAN。

如果您想为访客提供 WiFi 或网络访问,这可能构成潜在的安全风险。 在一个单独的 VLAN 中分段访客网络,该 VLAN 仅允许互联网访问,且无法访问内部资源。 下图显示了访客 WiFi 用户的 VLAN:

vlans1.png

然后在互联网防火墙中创建一个规则,允许此 VLAN 访问互联网。 下图显示了一条互联网防火墙规则,允许访客 WiFi VLAN 访问互联网:

GuestWiFi_Internet.png

限制有安全风险的流量

除了分段网络以提高网络安全性外,您还可以限制构成潜在安全风险的流量类型。 例如,远程桌面协议(RDP)和文件共享(SMB)协议通常被不法分子用于获取敏感信息或传播损害企业数据的勒索软件。

我们建议您配置 WAN 防火墙以默认限制对这些协议的访问,只在必要时允许此类流量。 有关配置WAN防火墙规则和最佳实践的更多信息,请参阅互联网和WAN防火墙策略最佳实践

这篇文章有帮助吗?

2 人中有 2 人觉得有帮助

0 条评论