网络安全-内网安全加固方案

内网接入限制(MAC地址白名单)
    只允许信任设备接入内网，且每次自动获取的IP地址不变(后续就可根据IP地址控制访问权限)
        开启DHCP服务根据MAC地址静态分配固定IP地址
    只允许可信的DHCP服务器分配IP地址(防止私建DHCP服务器)
        DHCP Snooping 信任接口(DHCP服务器所在方向接口)
        DHCP Snooping 非信任接口(终端设备接入接口)
    禁止未登记MAC的电脑和手动配置IP的电脑接入网络(阻止非信任设备接入，阻止信任设备手动换IP地址)
        DHCP Snooping IP源防护/动态ARP监测/绑定表生成接口MAC地址表项
    禁止网络中的电脑看到其他电脑的MAC地址(可降低MAC地址盗用风险)
        开启端口隔离(同交换机内隔离)
        开启SuperVLAN隔离广播域(不开启Proxy ARP)(跨交换机间隔离)
    

限制内网互通(降低安全威胁内部扩散)    
    办公电脑 <-禁止-> 办公电脑
        接入交换机开启端口隔离实现二层隔离
        跨交换机使用SuperVLAN进行隔离，且不开启内部转发        
    办公电脑 <-限制-> 打印机
        办公电脑和打印机分属两个VLAN两个网段，通过3层转发互通
        打印机所在交换机接口配置ACL限制访问    
    办公电脑 <-限制-> 内部服务器
        办公电脑和内部服务器分属两个VLAN两个网段，通过3层转发互通
        服务器所在交换机接口配置ACL限制访问

内网办公电脑之间互传文件解决方案    
    SMB文件服务器(个人或部门使用)
        自动挂载到电脑当普通分区使用(方便用户使用)
        数据集中备份(增加数据存储安全)
        文件权限控制(增加数据使用安全)        
    内网网盘应用(文件内部分享使用)
        方便分享文件如百度网盘分享链接(可设置密码/有效期/接收人)

ACL
    如内网不使用IPv6可通过ACL禁止所有IPv6流量
    允许访问的个人IP地址/部门IP段地址
    允许访问的管理员IP地址
    控制是否允许上网
        打印机推荐禁止使用互联网
        服务器根据情况选择是否允许其使用互联网
    示例：

配置说明
    核心交换机
        开启SuperVLAN
            SuperVLAN 1000 绑定IP接口地址 192.168.32.1/19 不开启arp
            SubVLAN   101  给接入交换机1
            SubVLAN   102  给接入交换机2
        开启VLAN 10 绑定IP接口地址 192.168.10.1/24 给打印机用
        开启DHCP服务，静态分配IP地址
            内网办公电脑 pool 192.168.32.1 - 192.168.63.254
            MAC 0000-0000-0001 分配IP 192.168.33.2/19 业务部
            MAC 0000-0000-0002 分配IP 192.168.34.2/19 财务部
            MAC 0000-0000-0003 分配IP 192.168.35.2/19 技术部
            
            内网打印机 pool 192.168.90.1 - 192.168.90.254
            MAC 0000-1111-0001 分配IP 192.168.90.2/24 打印机
            
            内网服务器
            内网服务器 pool 192.168.200.1 - 192.168.200.254
            
    接入交换机
        开启dhcpsnoop
        上联口开启DHCP信任端口
        终端接口
        终端接口开启端口隔离
        终端接口可配置入方向ACL
            禁止IPv6流量
            配置可访问的IP个人或部门段(打印机或服务器)
            禁止上网(打印机或服务器)
    
    内网安全应用服务器
        时间同步
            开启NTP服务
        日志中心
            开启rsyslog服务接收保存并分析内网设备日志
            示例脚本：解析交换机日志(设备被登录/ACL允许或拒绝等情况) http://t.csdnimg.cn/iTHd4
        网络监控
            看内网流量情况及设备掉线报警
            示例脚本：SNMP查询 http://t.csdnimg.cn/Wh0hg
            示例脚本：自动发邮件 http://t.csdnimg.cn/Wh0hg
        配置备份
            示例脚本：下载网络设备运行配置和配置文件 http://t.csdnimg.cn/vbkzl 和 http://t.csdnimg.cn/LQjtN
            示例脚本：分析同个配置变化情况 http://t.csdnimg.cn/oGt2H
            示例脚本：查询ACL情况(查询某个IP被哪个ACL阻止或放行)
            示例脚本：自动发邮件
        文件共享
            开启SMB服务
            示例脚本：增量备份和全量备份 http://t.csdnimg.cn/ihJiG

            示例程序：自制简易网盘网页分享文件