Aus meiner Erfahrung hilft, erst Grenzen des Vertrauens sauber zu ziehen und dann schlank zu segmentieren: getrennte Bereiche für Office-User, Gäste, Geräte ohne Login (Druck/IoT), Video nur Richtung Recorder, Verwaltung separat. Default-Deny, dann minimal nötige Flüsse erlauben; pro Zone eine Vorlage für Regeln, damit keine „Snowflake“-Policies entstehen. IP-Plan und Namensschema vorher festzurren, sonst wächst Chaos nach. Für die Reihenfolge: erst Kern/Firewall sauber, danach Access in Blöcken migrieren. Eine kompakte Orientierung bietet Netzwerkplanung — dort wird nachvollziehbar beschrieben, wie man von Anforderungen über Design zur stabilen Übergabe kommt, ohne im Regelwerk zu ersaufen.
Aus meiner Erfahrung hilft, erst Grenzen des Vertrauens sauber zu ziehen und dann schlank zu segmentieren: getrennte Bereiche für Office-User, Gäste, Geräte ohne Login (Druck/IoT), Video nur Richtung Recorder, Verwaltung separat. Default-Deny, dann minimal nötige Flüsse erlauben; pro Zone eine Vorlage für Regeln, damit keine „Snowflake“-Policies entstehen. IP-Plan und Namensschema vorher festzurren, sonst wächst Chaos nach. Für die Reihenfolge: erst Kern/Firewall sauber, danach Access in Blöcken migrieren. Eine kompakte Orientierung bietet Netzwerkplanung — dort wird nachvollziehbar beschrieben, wie man von Anforderungen über Design zur stabilen Übergabe kommt, ohne im Regelwerk zu ersaufen.