一些企事業(yè)單位出于安全考慮，需要做內外網(wǎng)分離。舉例來說，需要達到如下的技術要求：

1. 生產網(wǎng)、辦公網(wǎng)、外網(wǎng)三網(wǎng)隔離。

2. 啟用網(wǎng)絡準入，對非規(guī)定允許接入的設備禁止其接入網(wǎng)絡。
   

3. 上網(wǎng)數(shù)據(jù)留存。

在本文中，我將結合WSG上網(wǎng)行為管理來闡述如何實現(xiàn)內外網(wǎng)分離。

1. 劃分VLAN使生產網(wǎng)、辦公網(wǎng)、外網(wǎng)三網(wǎng)隔離

要實現(xiàn)三網(wǎng)隔離，首先需要創(chuàng)建三個VLAN，分別是生產網(wǎng)段、辦公網(wǎng)段、外網(wǎng)網(wǎng)段（WiFi）。并且對每個網(wǎng)段設置不同的網(wǎng)絡權限。具體步驟如下：

然后配置防火墻策略，禁止網(wǎng)段之間的互訪。

2. 配置各網(wǎng)段的外網(wǎng)策略

2.1 完全禁止生產網(wǎng)段訪問外網(wǎng)

2.2 辦公網(wǎng)段采用嚴格的IP-MAC綁定，只有允許的終端設備才可以接入

2.3 對外網(wǎng)WiFi開啟實名認證，并且記錄上網(wǎng)內容。

經過上述配置后，即可滿足局域網(wǎng)內外網(wǎng)分離的安全需要，并且實現(xiàn)全網(wǎng)上網(wǎng)行為管理和上網(wǎng)日志審計，大幅度提高企事業(yè)的網(wǎng)絡安全。