怎么设计监控网络,实现联网的同时不被非法访问?

在大多数小型环境中,由于监控设备需要联网,就会和办公上网设备连接在同一网络,监控和办公网络/上网网络不会进行隔离。这种情况下局域网的手机、电脑等终端设备可以访问到监控设备,如果被非法终端访问监控设备,可能存在监控视频泄露、监控设备配置被修改等风险。下面我们来介绍几种隔离局域网终端设备访问监控设备的方法。

方法1、使用双网口录像机

双网口录像机具有两个以太网口,能够支持多种工作模式,应用非常灵活。其中多址设定模式可以让两个网卡独立工作,连接不同网络,如内外网隔离、连接平台/专网等。


双网口录像机工作在多址设定模式,实现监控网络与办公网络/上网网络隔离、且能够实现远程监控。LAN1连接办公网络、LAN2连接监控网络,这样录像机可以联网实现远程监控,同时办公网络无法访问到摄像机和监控设备。


说明:办公网络可以通过LAN1口的IP地址访问到NVR,但由于NVR是加密的,所以安全性有所保证。

方法2、交换机划分VLAN

采用支持VLAN划分的交换机或路由器划分VLAN,将监控网络与上网网络划分在不同VLAN,不同VLAN之间不能相互访问但都能访问互联网,实现局域网隔离但均能连接互联网。


说明:需要交换机支持802.1Q VLAN划分。

方法3、启用无线隔离

很多店铺、家庭等小型环境的摄像机是通过无线连接到路由器,摄像机和手机是在一个局域网。如果对访客或顾客开放无线密码而又不想让用户访问到监控,最好的办法就是设置访客网络,并关闭访客网络对主人网络的访问权限。这样访客可以上网,但无法访问监控。


说明:连接访客SSID后无法访问主人网络

如果路由器不支持访客网络,就可以设置无线隔离,简单说就是将所有无线终端相互隔离,在同一局域网下也无法相互通信,这样也可以保护监控不被访问。


说明:无线隔离(AP隔离)禁止无线终端相互访问

方法4、增加路由器级联

1. 上述方法都是软件隔离,一般情况下,摄像机都是连接到专用的交换机后接入路由器上网,可以通过级联路由器的方式限制对监控的访问。在主路由器上连接二级路由器,监控摄像机、录像机均接入二级路由器联网。这样前端路由器的手机、电脑就无法访问到二级路由器下的监控设备。


说明:路由器是NAT单向访问设备

2. 主人手机电脑可以直接登录绑定的TP-LINK ID预览控制,或者在二级路由器上设置端口映射,实现局域网添加管理。例如,某小型饭店的监控和上网网络拓扑图如下:


其他安全防护手段

上述几种网络是在监控拓扑、网络设置上进行安全防护,除此之外,还有其他的安全防护手段。例如:

(1) 为监控设备设置安全性较高的密码。

(2) 设置访问白名单(勿轻易设置)。

(3) 修改录像机的IP地址与上网网络不在同一网段。

(4) 修改监控设备的端口。

(5) 三层设备设置访问策略。

建议根据实际情况选择最合适的方法,提升监控网络的安全性。