公司刚开完会,IT小李就被叫去处理一台异常发邮件的电脑。查了一圈,问题不在外网,而是有人从内部连上了测试用的开放端口,顺着进了系统。这种情况太常见了——大家总盯着防火墙防黑客,却忽略了局域网里的安全隐患。
为什么局域网也要设防?
很多人觉得,只要不连外网就安全。可实际情况是,员工带U盘进来自带病毒、访客连上WiFi蹭网、老旧设备开着远程调试功能没人管,这些都可能成为突破口。一旦某台设备中招,蠕虫就能在内网横着走,传染速度比外网攻击还快。
关闭默认共享,少留活口
Windows 机器默认开启的 C$、ADMIN$ 这类管理共享,在调试时方便,但长期开着就是风险。普通办公环境完全可以关掉。打开“服务”管理器,停用“Server”服务或通过组策略禁用默认共享。也可以用注册表修改:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000改完重启,这类隐藏入口就没了。
划分VLAN,隔离不同角色
财务部和研发部的数据,没必要让市场部能扫到。用交换机配置VLAN,把打印机、监控摄像头、办公电脑分在不同子网,彼此不通。哪怕前台电脑中毒,也跳不到核心业务区。中小企业可以用支持VLAN的千兆交换机,成本不高,但防护效果明显。
启用ARP防护,防伪造欺骗
局域网里有一种常见攻击叫ARP欺骗,攻击者冒充网关,偷偷截走你的流量。不少路由器和交换机支持开启ARP绑定或动态检测。比如在华为S系列交换机上可以这样设置:
arp anti-attack gateway-duplicate enable
user-bind static ip-address 192.168.1.100 mac-address 00e0-fc01-0203 interface GigabitEthernet0/0/1给关键设备做IP+MAC+端口三重绑定,别人想冒充也冒充不了。
定期扫描,发现“黑户”设备
谁也没报备,但网络里多了一台IP为192.168.1.150的树莓派?可能是某个程序员私自接的测试机,也可能是外来设备蹭网。用Nmap定时扫一下活跃主机:
nmap -sn 192.168.1.0/24配合MAC地址登记制度,发现未知设备立刻断网排查。这一步能堵住很多潜在风险。
终端统一管理更省心
尤其是设备多的单位,靠人一个个设密码、打补丁不现实。部署一套轻量级终端管理工具,统一推送杀毒软件、强制更新系统、限制USB使用权限。哪怕新员工不懂技术,也不至于随手插个U盘就把病毒带进来。
局域网不是保险箱,越是熟悉的地方越容易放松警惕。做好基础防御,不是为了应对高级攻击,而是挡住那些最常见的入侵路径。安全不是一劳永逸的事,但每加一道门槛,风险就少一分。