内网安全纵深:如何阻断部门间的越权访问与横向渗透
一、为什么需要禁止部门间随意互访?
在企业内网中,如果“销售部”可以直接访问“财务部”的ERP服务器,或者“研发部”可以PING通“人事部”的薪资数据库,意味着一旦某个部门的一台电脑被植入木马(成为肉鸡),攻击者就能以此为跳板,轻松入侵其他所有部门。
核心原则:最小权限通讯——一个部门只能访问其完成工作所必需的业务系统和指定人员。
二、五大实战级隔离方案(从简单到复杂)
方案1:VLAN+三层ACL(访问控制列表)——最通用
这是最基本、性价比最高的部门隔离手段。
实现逻辑:
划分VLAN:为每个部门分配独立的VLAN。
VLAN 10:财务部(IP:10.10.10.0/24)
VLAN 20:人事部(IP:10.10.20.0/24)
VLAN 30:研发部(IP:10.10.30.0/24)
VLAN 99:服务器区(IP:192.168.99.0/24)
配置三层交换机ACL规则:
拒绝所有跨部门直连:deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255(禁止财务访问人事)
允许特定访问:permit tcp 10.10.10.0 0.0.0.255 host 192.168.99.10 eq 1433(允许财务部访问数据库服务器的1433端口)
默认规则:末尾隐含 deny any any(禁止任何未明确允许的跨VLAN流量)。
效果:财务部只能访问数据库服务器,不能访问人事部任何一台电脑。研发部无法扫描财务部IP。
方案2:端口隔离(Port Isolation)——最彻底
适用于同一台交换机下,不同部门的工位物理混合的场景(例如开放式办公区)。
实现方式:
在交换机每个端口上开启 端口隔离 功能。
效果:同一交换机下,端口1(财务A)与端口2(人事B)之间二层不通(不能通过MAC地址直接通信)。它们只能与上联端口(网关或路由器)通信。
适用场景:共享打印机区域、跨部门联合办公室、防止同网段ARP欺骗。
方案3:基于M-LAG/VPC的虚拟防火墙微隔离——最精细
当部门间存在复杂的“允许互访但仅限特定人员”需求时,使用交换机ACL会变得极其繁琐,此时需要防火墙介入。
架构:
将内网分为 信任区(本部门)、非信任区(其他部门)。
在核心交换机与防火墙间部署透明模式或路由模式。
配置示例:
允许:研发部 张三 访问 文件服务器(仅限SMB协议,445端口)。
阻断:研发部 任何人 通过RDP(3389)访问财务部任何电脑。
告警:市场部 尝试访问 人事部数据库 → 立即产生安全事件日志。
高级能力:防火墙可基于用户ID(AD域账号)而非仅IP地址做权限判断,即使员工换了IP,权限依然跟随。
方案4:软件定义网络(SD-Access / 微分段)——最理想
适用于大规模、动态变化的环境(如高校、大型企业)。
实现方式:
不再依赖IP地址和VLAN,而是基于标签。
每台设备接入网络时,自动根据身份(部门、角色)打上标签。
策略:
[财务] → [财务服务器]:允许
[财务] → [人事]:禁止
[财务] → [打印服务]:允许(无论打印机物理位置在哪)
优势:IP地址改变、交换机变动时,权限策略自动跟随,无需修改ACL。
方案5:物理隔离与网闸——最高安全等级
用于涉密部门(如核心代码库、薪资系统、董事会)。
方法:
核心部门使用独立的交换机、独立的网线。
部门间通过 网闸(单向光闸)或 人工拷数据 交换信息。
禁止任何形式的直接网络层连接(包括ICMP)。
效果:即使全公司其他网络被攻破,该部门依然安全。
三、必须处理的“例外”场景(解决业务矛盾)
完全禁止部门间互访往往不现实,常见合法需求包括:
需求场景 安全解法 风险控制
跨部门打印 打印机放入独立VLAN,各部门仅允许访问打印端口(9100),禁止从打印机访问任何部门。 打印机固件需定期更新,防止成为跳板。
员工出差/远程 强制VPN接入,并分配独立的VPN VLAN,仅允许访问文件服务器,禁止访问内网其他PC。 启用MFA多因素认证。
跨部门协作项目 创建临时“项目VLAN”或共享文件夹,项目结束后关闭权限。 授予临时权限,并启用详细审计日志。
领导需要看所有部门 不给领导全局开墙。改为:在领导电脑上部署特权堡垒机,领导通过堡垒机访问各系统,但无法直接RDP到员工PC。 堡垒机所有操作录像。
四、检测与审计:如何发现未授权的跨部门访问?
即使配置了策略,仍需监控是否有绕过行为。
需要监控的行为:
异常路由:某部门PC尝试直接访问其他部门IP(防火墙日志会记录deny事件)。
ARP跨段扫描:使用nmap扫描其他网段的行为,应立即告警。
DNS隧道:如果无法直接访问,肉鸡可能通过DNS将数据传到外部,再绕回其他部门(极隐蔽,需检测)。
推荐工具:
NetFlow/sFlow:分析流记录,发现源IP和目标IP不在同一策略组。
交换机日志:%FW-4-DENY 类型的告警应实时发送到SOC。
五、配置实战:华为/思科交换机示例(基础ACL)
场景:禁止研发部(192.168.30.0/24)访问财务部(192.168.10.0/24),但允许研发部访问打印服务器(192.168.100.50)。
华为交换机配置:
bash
# 创建高级ACL 3000
acl number 3000
rule 5 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 10 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.100.50 0.0.0.0
# 应用到VLAN 30的入方向
interface Vlanif30
traffic-filter inbound acl 3000
思科交换机配置:
bash
access-list 101 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 101 permit ip 192.168.30.0 0.0.0.255 host 192.168.100.50
interface vlan 30
ip access-group 101 in
六、常见错误与误区
“我们只有一个网段,没法隔离”
错误。即使在同一个/24网段,也可以使用PVLAN(私有VLAN) 技术实现端口隔离。
“我们用了VLAN,但他们之间还是通了”
原因:忘记在三层交换机上配置ACL,默认VLAN间是路由互通的。必须显式添加deny规则。
“我们部门间不需要互访,但需要都能上网”
正确做法:为每个部门配置独立的NAT outbound策略,但核心交换机的ACL中,禁止源IP为A部门、目标IP为B部门的流量通过。允许所有部门访问互联网网关(目标IP为外网路由器的出接口)。
七、总结与行动清单
最终目标:将“扁平化内网”改造为“洋葱模型” —— 核心数据在最内层,普通部门在外层,每层之间只有预先批准的管道。
本周即可执行的三步:
绘制流量地图:列出每个部门需要访问的服务器IP和端口(精确到具体服务)。
实施VLAN+ACL:先在测试环境中为两个非核心部门(如行政部和市场部)配置禁止互访,观察业务是否受影响。
部署防火墙策略:将核心服务器置于独立区域,其他部门仅能通过特定端口访问,其余全部丢弃。
一句话原则:除非明确需要共享,否则默认为阻断。安全的设计是“白名单”,而不是“黑名单”。