组织中各个以太网端口的防火墙

网络工程 局域网 防火墙 安全 包分析
2022-02-22 04:30:38

是否有任何易于管理的方法可以在大型组织中的有线网络交换机上将各个以太网端口相互隔离,以便设备无法看到彼此或 LAN 上的任何其他内容,除非在防火墙配置中特别授权每个端口?

一个典型的应用是在半公共空间中,人们可能会携带可能插入有线建筑网络的个人设备,以限制设备发现和 nmap 地址探测。

我认为可能可以手动实现,但这需要一些非常复杂的配置,例如将交换机上的每个单独的以太网插孔分配给单独的 VLAN,然后在路由器中为每个 VLAN 创建单独的防火墙规则组界面。

为此使用 VLAN 最多只能使用 4096 个 VLAN。如果一个组织有更多的有线墙壁端口,那么显然网络将需要物理布线隔离和单独的路由器 NIC/布线,以允许在每个路由器 NIC 上重复使用 VLAN ID。

或者,也许在网络机柜中使用分布式路由器来处理物理分段的 VLAN 重用组,而不是在主数据中心中拥有一个巨大的路由器。

是否有任何交换机设备已经提供了这种单独的防火墙以太网端口隔离?

2个回答

Cisco 交换机具有称为专用 VLAN 的功能(其他 mfrs 名称不同)。您可以配置端口,使其只能与网关端口通信,而不能与同一 VLAN 上的其他端口通信。这将完成您的要求。

但我很怀疑这是你真正需要的。我想更好地了解您的安全要求。

正如@Silent-Bob 建议的那样,私有或隔离 VLAN 将阻止设备在同一 VLAN 上相互通信。我不确定这正是你想要的。

如果允许访客或 BYOD,大多数公司会为此类场景设置 VLAN。VLAN 可以通过防火墙与网络的其余部分隔离。允许您无法控制的任何设备访问您的网络并不是一个好主意,并且大多数公司限制此类设备仅允许访问和从 Internet 访问。

另外,请参阅此问题:如何阻止入侵者插入以太网壁式插座以访问网络?

其它你可能感兴趣的问题
上一篇为什么交换机和接入点都有 IP 地址? 下一篇如何在不重置防火墙的情况下重置 Fortigate 防火墙密码