不只隔离:VLAN + ACL 才是企业网络安全的黄金组合
发布时间:2025-10-09 16:39 浏览量:16
号主:老杨丨11年资深网络工程师,更多网工提升干货,
“我们已经用VLAN把财务、人事、研发部门隔开了,为什么研发员工还能访问财务服务器?”
“网络明明分了区,怎么病毒一感染就全网蔓延?”
这是很多企业网络的真实写照。他们以为 VLAN = 安全,却忽略了最关键的一点:
★VLAN只能实现逻辑隔离,不能控制访问权限。真正的企业网络安全,需要的是 “隔离 + 控制” 双重防线。
而最佳搭档,就是:VLAN + ACL(访问控制列表)
今天就来聊聊:
为什么只用VLAN不安全?
ACL如何补上“最后一块拼图”?
如何用VLAN + ACL构建分层防御体系?
实际配置案例,拿来即用。
[研发PC] → [三层交换机] → [财务服务器]
↑
VLAN间路由已开启
只要三层交换机配置了VLAN间路由,研发用户就能直接访问财务服务器——VLAN形同虚设。
VLAN是“围墙”,ACL是“门禁系统”。
# 创建VLAN
[Huawei] vlan batch 10 20 30
[Huawei] interface vlan 10
[Huawei-Vlanif10] ip address 192.168.10.1 24 # 财务
[Huawei-Vlanif20] ip address 192.168.20.1 24 # 人事
[Huawei-Vlanif30] ip address 192.168.30.1 24 # 研发
# 创建ACL 3000:只允许财务访问财务服务器(192.168.99.100)
[Huawei] acl number 3000
[Huawei-acl-adv-3000] rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.99.100 0.0.0.0
[Huawei-acl-adv-3000] rule 10 deny ip # 默认拒绝所有
# 在财务服务器网关接口入方向应用ACL
[Huawei] interface Vlanif 99
[Huawei-Vlanif99] ip address 192.168.99.1 24
[Huawei-Vlanif99] traffic-filter inbound acl 3000
✅ 效果:
财务部门(VLAN 10)可访问服务器
人事、研发部门即使知道IP也无法访问
外部攻击者更无法进入
[Huawei] acl number 3001
[Huawei-acl-adv-3001] rule 5 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
[Huawei-acl-adv-3001] rule 10 permit ip # 其他放行
[Huawei] interface Vlanif 20
[Huawei-Vlanif20] traffic-filter inbound acl 3001
[Huawei] acl number 3002
[Huawei-acl-adv-3002] rule 5 permit tcp destination 192.168.100.10 0.0.0.0 destination-port eq www
[Huawei-acl-adv-3002] rule 10 permit tcp destination 192.168.100.10 0.0.0.0 destination-port eq https
[Huawei-acl-adv-3002] rule 15 deny ip
[Huawei] interface Vlanif 100
[Huawei-Vlanif100] traffic-filter inbound acl 3002
[Huawei] acl number 3003
[Huawei-acl-adv-3003] rule 5 deny ip destination 192.168.50.0 0.0.0.255 # 禁止访问摄像头网段
[Huawei-acl-adv-3003] rule 10 permit ip source 192.168.50.0 0.0.0.255 # 允许摄像头向外发流
[Huawei] interface Vlanif 1
[Huawei-Vlanif1] traffic-filter inbound acl 3003
✅ 建议:
VLAN + ACL 做内网分区分域,
防火墙做边界深度防护,
两者协同,构建纵深防御。
VLAN解决“分”的问题 —— 把网络切成块。
ACL解决“控”的问题 —— 规定块之间怎么通信。
只用VLAN,如同建了房间却没有门锁;
只用ACL,如同到处贴封条,管理混乱。
行动建议:
检查现有网络:是否只有VLAN,没有ACL?从关键服务器开始,部署入方向ACL建立“网络分权”策略:谁可以访问什么?别再让VLAN给你虚假的安全感,用ACL补上最后一道防线。