一些企事業(yè)單位出于安全考慮，需要做內(nèi)外網(wǎng)分離。舉例來(lái)說(shuō)，需要達(dá)到如下的技術(shù)要求：

1. 生產(chǎn)網(wǎng)、辦公網(wǎng)、外網(wǎng)三網(wǎng)隔離。

2. 啟用網(wǎng)絡(luò)準(zhǔn)入，對(duì)非規(guī)定允許接入的設(shè)備禁止其接入網(wǎng)絡(luò)。
   

3. 上網(wǎng)數(shù)據(jù)留存。

在本文中，我將結(jié)合WSG上網(wǎng)行為管理來(lái)闡述如何實(shí)現(xiàn)內(nèi)外網(wǎng)分離。

1. 劃分VLAN使生產(chǎn)網(wǎng)、辦公網(wǎng)、外網(wǎng)三網(wǎng)隔離

要實(shí)現(xiàn)三網(wǎng)隔離，首先需要?jiǎng)?chuàng)建三個(gè)VLAN，分別是生產(chǎn)網(wǎng)段、辦公網(wǎng)段、外網(wǎng)網(wǎng)段（WiFi）。并且對(duì)每個(gè)網(wǎng)段設(shè)置不同的網(wǎng)絡(luò)權(quán)限。具體步驟如下：

然后配置防火墻策略，禁止網(wǎng)段之間的互訪。

2. 配置各網(wǎng)段的外網(wǎng)策略

2.1 完全禁止生產(chǎn)網(wǎng)段訪問(wèn)外網(wǎng)

2.2 辦公網(wǎng)段采用嚴(yán)格的IP-MAC綁定，只有允許的終端設(shè)備才可以接入

2.3 對(duì)外網(wǎng)WiFi開啟實(shí)名認(rèn)證，并且記錄上網(wǎng)內(nèi)容。

經(jīng)過(guò)上述配置后，即可滿足局域網(wǎng)內(nèi)外網(wǎng)分離的安全需要，并且實(shí)現(xiàn)全網(wǎng)上網(wǎng)行為管理和上網(wǎng)日志審計(jì)，大幅度提高企事業(yè)的網(wǎng)絡(luò)安全。