仅将个人使用的互联网放在不同的子网上通常是不够的，除非该子网对公司的其他部分进行了防火墙保护；除非您很聪明地保护自己，否则有各种互联网漏洞会劫持用户的 PC 并对您的公司构成威胁。这是一个看似无辜的 Wordpress 妥协 (CVE-2013-1949) 的示例，它会对未受保护的内部网络构成威胁。

如果操作正确，用于 BYOD 的个人使用 Internet 不会构成安全风险...

• 所有个人使用的 wifi 访问都应使用802.1x（通常是PEAP）执行，以便您可以基于每个用户撤销 wifi 访问凭据。

  • 避免使用 WEP 或 WPA PSK 之类的共享凭据（即您没有向公众提供互联网访问权限，因此无需使用众所周知的 wifi 凭据）
  • 使用wIPS留意欺骗您的 SSID 的恶意 AP，因为 PEAP 客户端在某些情况下容易受到AP 模拟攻击
  • 禁用客户端到客户端流量（思科称之为“点对点流量”）以避免客户端通过您的 wifi 攻击其他客户端的问题（ARP 欺骗攻击只是一个例子）
• 如果这些用户滥用您的互联网连接， 您的公司仍需对这些用户的行为负责
  • 为个人使用的互联网连接的可接受使用建立良好的安全策略；要求用户在连接之前签署并接受政策（您的企业人力资源/法律部门也可能希望参与其中）。
  • 代理并记录从此子网的所有 Internet 访问
  • 如果可能，为个人使用的 Internet DMZ 使用 IDS / IPS
• 如果个人使用的 wifi AP 处于自主模式，一些可能的网络设计选项将个人使用的互联网流量与您的公司网络隔离：
  • wifi AP 的 vlan 可能位于仅限 Internet 的 VRF 中
  • wifi AP 的 vlan 可以直接连接到您的 Internet FW（在 DMZ 中）
• 如果个人使用的 wifi AP 是从无线 LAN 控制器管理的，一些可能的网络设计选项将个人使用的互联网流量与您的公司网络隔离：
  • WLC 可以将所有个人使用的互联网流量定向到仅限互联网的 VRF
  • WLC 可能有一个 VLAN 连接到您的 Internet FW（在 DMZ 中）

简单的答案是肯定的，您可以这样做并完全保护安全网络免受不安全网络的影响。然而，魔鬼在细节中，缺少许多细节来提供任何真正的答案。

具体来说，您提到了路由器和无线路由器，但没有提到类型或功能。如果您在谈论消费级设备，那么不，您可能无法做您想做的事。对路由器而言，无线路由器及其背后的客户端都将作为安全网络上的另一个客户端出现。

如果您谈论的是企业级设备，那么这将相对容易。这将允许使用 VLAN、ACL 和/或路由作为工具来创建您想要的分离。

SOHO 类设备可以属于上述两种解决方案中的任何一种。

关于这个问题几乎不可能写出一个好的答案，因为需要考虑的事情太多了。

简而言之：如果保护内部用户的安全设备配置正确并且阻止了所有不需要的通信（例如从 Wifi 网络到内部网络的通信），则在保护内部设备时应该没问题。

但是，您需要找到以下问题的答案： - 如何防止无线用户用尽所有可能阻止内部用户工作的互联网访问带宽？- 如何识别wifi用户？您不希望热点是用户可以匿名访问非法内容。您如何记录和跟踪来自 Wifi 的连接？

这取决于。我会从两个方面来看待这个问题。- 无线被破坏的风险 - 如果无线网络被破坏或被破坏的主机在其上运行，无线网络具有哪些访问权限。

前一个方面已经被广泛讨论，所以我没有太多要补充的，除了如果它是一个访客网络，那么很多更安全的选项，例如 dot1x 是不可能的。如果您是偏执狂，您可以使用提供一次性密码的访客控制器，例如通过票务打印机（酒店等使用这些）。

从设计 POV 来看，后一方面相对简单：只需确保它所在的任何 VLAN 或网段都无法访问您的公司网络。以下所有内容都可以按安全性递减的顺序工作 - 完全独立的网络，包括物理上独立的设备/互联网链接 - 通过 VRF 虚拟独立的网络，只有互联网出口（与防火墙结合或不结合） - 防火墙或 ACLed VLAN，只有权限到互联网的出口（但在相同的 VRF 或正常路由上下文中运行） - 这是最简单的解决方案，除非您是军事/银行等，否则可能已经足够了。