顧名思義，網絡分段是一種將網絡劃分為多個段或子網的方法。這使網絡管理員能夠控制網段之間的流量，提高性能并提高監控能力。因此，網絡管理員可以通過防止未經授權的訪問和本地化技術問題來創建安全的企業網絡。

網絡分段的定義

傳統網絡的特點是：

• 它們通常有一個堅不可摧的外殼，將外部世界與內部企業網絡隔開。
• 他們假設網絡中的個人是可以信任的。
• 他們對內部網絡幾乎沒有部署限制，因此如果攻擊者可以從外殼侵入，他們就可以訪問內部企業網絡中的所有內容。

然而，由于最近備受矚目的內部泄密事件經常浮出水面，因此有必要加強內部網絡。這就產生了網絡分段的架構概念。

網絡分段的工作原理

在更廣泛的網絡中，網絡分段建立了不同的、分離的部分，每個部分都有自己的一套安全標準和策略。具有相同信任級別的段或端點類別存儲在這些段中。

基于邊界的網絡分段

內部和外部網段是通過基于信任的基于邊界的分段創建的：網段內部的內容可以信任，而外部的任何內容都不是。因此，內部資源幾乎沒有限制，因為它們通常在具有最小內部網絡分段的平面網絡中運行。分段和過濾發生在預定的網絡節點。

網絡虛擬化

許多企業現在有許多網絡區域，這些網絡區域具有需要在多個網絡點進行分段的特定任務。此外，網絡的端點已經擴展到包括各種端點類型，每種類型都有不同的信任級別。

結果，基于周長的分割不再足夠好。隨著云技術、BYOD 和移動設備的引入，邊界變得越來越模糊，沒有明確的分界線。為了獲得更高的安全性和網絡性能，我們現在需要額外的分段，進一步進入網絡。此外，當今的東西向流量模式需要更大的網絡分段。網絡虛擬化在這里發揮作用，因為它將分段提升到了另一個層次。

VLAN 最初設計用于分隔廣播域和提高網絡性能。隨著時間的推移，VLAN 演變成一種安全機制，盡管這從來都不是本意。VLAN 的問題是沒有 VLAN 內過濾，因此具有非常廣泛的訪問權限。

網絡分段功能

網絡分段具有以下特點和特點：

• 網絡分段部署零信任策略。零信任策略假定默認情況下沒有人值得信任，即使他們在內部企業網絡中也是如此。
• 網絡分段策略創建第二道防線并加強安全性。
• 默認情況下，只有授權用戶可以訪問該網段，而其他人則被禁止訪問。
• 網段可以是應用一組通用安全策略的網絡安全區域的一部分。

網絡分段是通過限制攻擊者繞過外圍訪問內部數據的可能性來創建安全企業網絡的重要工具。

網絡分段的用例

網絡分段在業務和安全領域具有以下重要用例：

• 合規性：組織在開展業務時需要遵守監管法律和標準，例如健康保險流通與責任法案 (HIPAA) 和支付卡行業數據安全標準 (PCI DSS)。網絡分段通過證明敏感數據得到安全處理以及對敏感數據的充分監控到位，有助于輕松實現這一目標。
• 勞動力流動性：您可以創建啟用虛擬專用網絡 (VPN) 客戶端的網段，以允許員工在家工作。這有助于創建安全的移動員工隊伍并提高員工的工作效率。
• 物聯網設備的隔離：物聯網 (IoT) 設備的安全與其他組織數據一樣重要。因此，您可以使用網絡分段來允許閉路電視 (CCTV) 攝像機等物聯網設備僅在其自己的網絡內共享信息。
• 訪客網絡：您可以使用網絡分段來創建受保護的訪客網絡并實時管理訪客活動。
• 員工：您可以為您的員工創建網段，使用他們自己的一套規則策略、過濾器和限制。

網絡分段的好處

網絡分段有很多好處。網絡分段的一個不可否認的好處是提高了安全性。網絡分段將系統和應用程序彼此隔離。它創建一個網絡過濾器，限制網段之間的訪問并增強安全性。

網絡分段意味著更好的網絡遏制，可以減慢攻擊者的速度。當攻擊者攻破一個網段時，他們也無法訪問所有其他網段。他們需要一些時間來突破每個網段之前的策略、過濾器、防火墻和障礙，從而減慢攻擊者的速度?？梢钥隙ǖ卣f，成功攻擊造成的損害會減少，因為將攻擊傳播到其他部分需要時間。

攻擊不僅破壞性較小，而且您可以通過網絡分段提供的改進監控更輕松地檢測到它們。網絡分段允許您增強日志記錄、監視事件和連接并檢測可疑行為。有了這個，您可以注意到惡意活動的模式并進行適當的調整以防止可能的違規行為。

網絡分段提高了性能。您為每個網段創建更少的主機，從而最大限度地減少本地流量。您可以將廣播流量隔離到本地子網，從而節省查找惡意事件所花費的時間和金錢。

管理員可以提高訪問控制能力并輕松實施最小權限策略 (PoLP) 原則。這是指何時為用戶提供執行工作職能所需的最低級別的訪問權限。網絡分段允許用戶僅訪問特定的網絡資源并防止意外訪問，從而更好地控制您的網絡。隨著組織迅速采用最小權限策略，網絡分段正步入正軌。分段網絡限制對關鍵信息的訪問，加強最小特權策略。