某连锁奶茶品牌去年开了37家新店,每家店都配了POS机、监控、Wi-Fi和员工办公终端。刚开始用的是各店自建小路由器,结果总部IT一查日志:有家分店的Wi-Fi被用来挖矿,另一家收银系统被扫出了弱口令漏洞——问题不是出在设备上,而是网络没隔离,也没法统一管。
隔离不是封死,是分清楚谁该连谁
分支机构网络隔离,不是让各地网点彻底断网,而是把流量‘分车道’:顾客Wi-Fi走一条道,收银系统走另一条道,内部OA再走一条道。每条道之间默认不通,除非明确放行。比如门店摄像头视频流只允许上传到总部安防平台,不允许访问财务系统;员工手机连Wi-Fi后,只能上互联网,不能碰内网服务器。
统一管理的关键,是把策略‘写进网络里’
过去靠人工登录每台防火墙改规则,50个点就得跑50次,漏改一台就埋雷。现在主流做法是用SD-WAN或零信任网关集中下发策略。例如,总部定义一条规则:
policy branch-isolation {
from: branch-network
to: core-finance-server
action: deny
reason: finance-system-access-restricted
}这条策略推送到所有分支节点后,哪怕新开一家店,只要上线就自动生效。不需要人去现场敲命令,也不怕新员工手抖删错配置。
真实场景里的小技巧
有家物流公司把分拣站网络拆成三张虚拟网:一张给扫码PDA(只允许连调度中心API),一张给叉车平板(只通仓储WMS),一张给休息区Wi-Fi(仅限上网)。三张网物理同缆,逻辑隔离,连IP段都按功能划分:192.168.10.x 是PDA段,192.168.20.x 是平板段,192.168.30.x 是访客段。运维看一眼IP就知道这台设备该走哪套策略。
还有的零售企业直接把隔离策略和门店ID绑定。比如编号BR-083的店,自动继承‘餐饮类分支模板’:禁止外联FTP、限制每日外发邮件附件总大小、视频回传启用QoS优先级。换一家店,换一个模板,策略自动适配,不靠人记、不靠文档翻。