家庭网络设计 - 第二部分

作者：Ethan Robish

为什么需要网络分段？

在第一部分中，我们回顾了典型家庭网络的扁平结构：所有设备连接到同一路由器，处于同一子网，设备间可自由通信。这种网络的第一道防线是消费级路由器，但路由器本身存在漏洞，且网络中的物联网设备（如智能门铃、门锁、灯泡等）以及未及时更新的PC、平板和智能手机都可能成为攻击入口。一旦攻击者获得立足点，他们可以利用路由器漏洞、弱密码或暴力破解等手段横向移动，甚至发动勒索软件攻击。

分段意味着将设备分离，限制它们之间的自由通信，从而减少攻击面。分段可以是完全隔离，或仅允许特定流量。分段有助于实践深度防御策略，即使某一层安全措施失效，其他层仍能提供保护。

网络分段方法

分段可以看作一个线性尺度：一端是所有设备在同一网络（无分段），另一端是每个设备完全隔离（如IPv6公网IP）。Google的BeyondCorp和Cloudflare的Access产品展示了极端隔离的实践，但家庭网络通常介于两者之间。

分段工具包括：

• 交换机：管理型交换机支持VLAN和端口ACL，可在OSI第3层及以下实现分段，性能较高但灵活性有限。
• 路由器：通过路由控制子网间流量，但依赖路由缺失作为安全措施不可靠，因为路由协议可能自动添加路由。
• 防火墙：最灵活的工具，可处理OSI第3至7层流量，但可能增加延迟和CPU负载。

其他选项还包括无线客户端隔离、虚拟路由和转发（VRF）等。选择合适组合需平衡配置需求、设备能力和吞吐量要求。

决定分段内容

设备在同一网段可自由通信，广播和多播流量也共享；不同网段间通信需依赖路由和防火墙规则。安全意识强的用户可能倾向于过度分段，但这会增加复杂性和维护负担。作者曾将21台设备分为8段，最终简化为6段，但仍因配置错误导致访客设备与家庭设备混合。

推荐两种分段方法：

• 自上而下：从所有设备一组开始，逐步分离出必需段（如工作、访客、家庭）。
• 自下而上：从每个设备独立开始，根据资源访问需求合并组。

混合方法通常最实用：先自上而下确定大组，再用自下而上方法细化。

服务发现与多播DNS

打印机、Chromecast等设备常用多播DNS（mDNS）进行服务发现，但多播流量不跨网段，除非配置IGMP或mDNS中继器。对于简化部署，可将依赖多播的设备放在同一网段。

跨段访问服务

允许跨段访问时需谨慎，尤其是访客网络。选项包括：

• 完全拒绝跨段访问。
• 为单播服务添加防火墙规则（需手动配置客户端）。
• 使用设备特定功能（如Chromecast访客模式）。
• 配置多播路由或mDNS中继器。

硬件准备

实施分段需以下硬件：

• 防火墙和路由器（或第3层交换机）。
• 支持VLAN的管理型交换机。
• 足够的有线端口和无线接入点（支持虚拟AP或VLAN标记）。

进一步资源

作者计划后续文章分享基于Mikrotik设备的配置实践。其他资源包括Ubiquiti、Pfsense的教程和社区讨论（如Reddit的homelab版块）。

通过合理分段和配置，家庭网络可显著提升安全性，减少内部威胁和恶意软件传播风险。