安全的网络接入

这里不涉及日常使用的系统应用相关的软件安全。

网络隔离

通过二层网络以及一些旁路设计进行设备的隔离。

• 私有可信任设备在同一网段（二级子网）
• 家里的访客、临时接入网络的设备在同一网段（一级子网）
• 具有联网特性的智能设备在同一网段或者走移动热点（另外一个二级子网）

限制接入

• 二级子网进行MAC绑定，非授信设备禁止接入。
• 一级子网进行MAC绑定，仅在新设备第一次接入时，临时关闭MAC绑定。

限制访问

• 二级子网之间不可直接互通
  • 智能设备反正要走远程服务的中控
  • 需要编程访问的网关，可以使用一级子网进行中继
• 通过端口转发，一级子网只能访问到二级子网中的个别端口：包括日志收集服务端口
• 不使用光纤猫的路由功能，设置为桥接模式，只允许光猫进行拨号操作，避免被默认配置这类漏洞批量渗透养蛊。
• 一级路由公网禁ping，对外关闭一切路由可操作服务。

隧道

• 使用加密协议进行被动穿透连接，定期更换密码。