網絡分段 是一種 網絡安全 技術，它將網絡劃分為更小的、不同的子網絡，使網絡團隊能夠劃分子網絡并為每個子網絡提供獨特的安全控制和服務。網絡分段的過程涉及將物理網絡劃分為不同的邏輯子網絡。一旦網絡被細分為更小、更易于管理的單元，控制就會應用于單獨的、劃分的部分。

為什么選擇網絡分段：網絡分段的好處

網絡分段為每個網段提供獨特的安全服務，從而更好地控制網絡流量、優化網絡性能并改善安全狀況。

第一，更好的安全性。我們都知道，有了安全性，您的強大程度取決于您最薄弱的環節。大型扁平網絡不可避免地會出現較大的攻擊面。然而，當一個大型網絡被分割成更小的子網絡時，子網絡內網絡流量的隔離會減少攻擊面并阻礙橫向移動。因此，如果網絡邊界被破壞，網段會阻止攻擊者在整個網絡中橫向移動。

此外，分段提供了一種邏輯方法，可以在主動攻擊在網絡中傳播之前將其隔離。例如，分段可確保一個分段中的惡意軟件不會影響另一分段中的系統。創建分段可以限制攻擊的傳播范圍，并將攻擊面減少到絕對最小值。

接下來，讓我們談談性能。分段可減少網絡擁塞，從而通過消除特定分段中不必要的流量來提高網絡性能。例如，可以將醫院的醫療設備與其訪客網絡分開，這樣醫療設備就不會受到訪客網絡瀏覽流量的影響。

由于網絡分段，我們每個子網的主機更少，每個子網的本地流量最小化，并將外部流量限制在為子網指定的流量。

網絡分段是如何工作的？

網絡分段在更大的網絡中創建了多個隔離的分段，每個分段都可以有不同的安全要求和策略。這些段包含具有相同信任級別的特定應用程序或端點類型。

有多種方法可以執行網絡分段。我們將研究使用 VLAN 實現的基于邊界的分段，然后使用網絡虛擬化技術在網絡中執行更深層次的分段。

基于周界的分割

基于邊界的分段基于信任創建內部和外部分段：網絡分段內部的內容是可信的，外部的則不可信。因此，對內部資源的限制很少，通常在具有最小內部網絡分段的平面網絡上運行。過濾和分割在固定的網絡點。

最初，引入 VLAN 來劃分廣播域以提高網絡性能。隨著時間的推移，VLAN 逐漸被用作一種安全工具——但它們從未被用作安全工具。VLAN 的問題是沒有 VLAN 內過濾；他們擁有非常廣泛的訪問權限。

此外，要在細分市場之間移動，需要有一個策略。使用策略，您可以停止從一個段到另一個段的流量或限制流量（基于流量類型、源和目標）。網絡防火墻是用于基于邊界的分段的常用工具。它最初用于控制網絡流量的南北移動，同時允許段內的任意通信。

網絡虛擬化

今天，許多組織維護著各種具有特定功能的網絡區域，這些區域需要在多個網絡點進行分段。此外，網絡必須支持的端點已經發展到包括多種端點類型，每種類型都具有不同的信任級別。

因此，基于周界的分割不再足夠。例如，隨著云、BYOD 和移動設備的出現，邊界現在變得模糊，沒有明確的分界點。我們現在需要更多的分段，更深入的網絡，以實現更好的安全性和網絡性能。此外，在今天的東西向流量模式下，還需要更多的網絡分段。這就是網絡虛擬化發揮作用的地方，因為它將分段提升到了一個新的水平。

網絡虛擬化最簡單的形式是提供獨立于物理基礎設施的網絡和安全服務。通過在整個網絡中啟用網絡分段，而不僅僅是在外圍，網絡虛擬化在推動高效網絡分段方面發揮著關鍵作用。實際上，我們過去習慣的基于邊界的分段現在已經虛擬化和分布式——連同靈活、細粒度的安全策略——一直到網絡中的每個分段。