内网网络安全常见问题有哪些？

今天有位朋友问我，公司内网是不是只要装了防火墙，就安全了？我的回答是：内网安全远比“防外”复杂，因为威胁往往来自内部或已经突破边界的攻击。常见问题集中在接入控制、协议漏洞、病毒扩散、权限滥用、审计缺失五个方面。

一、ARP欺骗与中间人攻击

内网通常是大二层广播域，ARP协议缺乏验证。攻击者发送伪造ARP应答，可让其他主机的流量经过自己，实现窃听、篡改甚至断网。例如，某员工使用ARP欺骗工具截获领导邮箱密码。解决方案：启用交换机DAI或端口安全，强制绑定IP-MAC。

二、病毒与蠕虫横向传播

一旦某台主机感染勒索病毒或蠕虫，会利用漏洞、弱口令、共享文件夹在内网快速扩散。传统防火墙只监控南北向流量，对东西向横向移动往往“视而不见”。防御措施：网络微分段、终端EDR、关闭不必要的SMB服务、及时打补丁。

三、访问控制过粗或缺失

很多内网不做精细化权限划分：财务、研发、人事在同一网段，员工可随意访问共享文件，甚至直接登录服务器。根本原因是缺乏“零信任”理念，默认信任内网用户。改进方案：按部门划分VLAN，服务器区设置ACL，数据库只允许特定应用服务器访问。

四、弱口令与默认凭据

内网设备、数据库、网络设备使用默认密码或简单口令，攻击者通过暴力破解或撞库轻松拿下关键系统。典型案例：某公司打印机使用了默认密码，被黑客作为跳板进入内网。强制实施强密码策略、多因素认证和定期改密。

五、无日志审计与异常检测

多数企业未部署内网流量分析系统，导致攻击发生很久后才发现。例如，某员工离职前拷贝大量客户资料，由于无审计日志，公司无法追溯。部署NetFlow/sFlow、UEBA或NTA，对异常连接、大流量外传、非工作时间访问等进行告警。

六、物理安全与违规接入

机房或弱电间门禁不严，外人可随意插U盘或接入网口；员工私接无线路由器、随身WiFi，制造后门。对策：禁用空闲交换机端口，开启802.1X认证，定期巡检。

内网安全的核心是“不再信任任何内部流量”。常见问题的根因是默认信任和粗放管理。建议从微隔离、强制认证、持续监控、日志审计入手，逐步构建零信任内网。