网络分段

网络分段是将计算机网络划分为多个较小的、独立的单元，从而控制并限制通信。通过这种方式，可以加强安全性，因为这样可以限制未经授权的访问，同时将潜在威胁控制在规定的范围内。

• 通过隔离关键系统，从而减少了攻击的入口点。
• 在网络攻击期间，限制横向移动行为。
• 改善了交通控制以及网络性能。
• 通过防火墙、路由器或VLAN来实现对访问权限的限制。
• 有助于控制泄露情况，保护敏感数据的安全。

例如：在一个拥有独立销售部门和财务部门的组织中，来自不同部门的用户无法直接访问彼此的系统中的资源。如果需要进行数据交互，那么数据必须经过交换机、路由器以及防火墙的过滤，这样才能确保安全策略得到遵守。

网络分段的目的

网络分段的作用包括：

• 通过减少攻击面来提升安全性。
• 通过限制广播流量并减少拥堵情况，从而提高性能。
• 通过控制哪些设备能够进行通信，来实施访问权限管理。
• 通过将问题限制在特定的部分或区域，可以简化管理和故障排查过程。
• 支持遵守数据保护及相关行业法规。
• 通过允许在组织规模扩大时轻松添加新的部门，从而实现可扩展性。

网络分段是如何工作的呢？

网络分段的过程涉及几个基本步骤。

识别并分类资产：根据设备的功能、灵敏度或访问需求来对它们进行分类（例如：人力资源部门、财务部门、访客部门）。
2. 创建片段：可以通过子网或VLAN将网络划分为逻辑或物理上的多个段，并为每个段分配不同的IP地址范围。
3. 部署防火墙和三层网络设备：在各个网络段之间使用路由器和防火墙，以建立安全边界，并根据策略来控制流量。
4. 配置VLAN和ACL：使用VLAN技术，可以将同一物理网络上的设备进行逻辑分组。同时，可以设置访问控制列表(ACL)，以允许或阻止不同段之间的通信。

5. 监控各段之间的流量情况利用入侵检测/预防系统（IDS/IPS）来检测各段之间的恶意活动。
6. 实施最低权限原则：只授予用户必要的权限，避免授予过多的权限。默认情况下，所有非必要的跨段之间的通信都应被禁止。只有对业务运营所必需的通信才被允许进行。
7. 审查并更新相关政策：定期重新评估防火墙规则、访问控制列表以及分段策略，以反映组织结构和威胁环境的变化。

网络分割的类型

网络分段是指将计算机网络划分为多个较小的部分，以此来提升性能、增强安全性以及简化管理流程。以下是常见的几种网络分段方式：

物理分割

• 物理分割方式（或基于边界的分割方式）是通过使用专用交换机、布线设施、防火墙来实现设备组的划分，有时还会使用单独的互联网连接来进行划分。
• 虽然这种网络结构具有强大的隔离能力，但成本较高，扩展性较差，且管理起来也很复杂。内部网络通常处于扁平化状态，因此如果攻击者能够突破防火墙的防御，他们就可以毫无阻碍地移动。

2. 虚拟分割

• 虚拟分割，或逻辑分割，是将一个物理网络划分为多个独立的虚拟部分。
• 每个段都可以拥有自己的安全与通信策略。这种机制通常是通过使用诸如VLAN（虚拟局域网）这样的技术来实现的。

是什么促使了这种分割策略的实施呢？

分割是通过以下方式来实现的：

• 防火墙与路由器：通过ACL来控制访问权限。
• 交换机与VLAN为了实现逻辑上的隔离。
• 下一代防火墙（NGFW）与入侵检测系统：用于深入检查以及预防潜在威胁。
• 软件定义网络（SDN）：能够实现对分割过程的集中式、动态控制。
• 零信任架构（Zero Trust Architecture, ZTA）：实施最小权限原则，并对所有连接进行验证。

如何实施网络分段？

实施网络分段需要进行战略规划，同时还需要运用诸如VLAN、子网划分、防火墙以及访问控制策略等技术。

找出最有价值的资产和数据。

• 确定哪些系统、应用程序和信息需要最高的保护级别。

2. 检测并绘制出网络及数据流的地图。

• 想象一下，各种设备是如何进行通信的，以及数据在网络中是如何传输的。

3. 确定如何对网络进行划分/分割。

• 请确定分割策略，例如：VLAN划分、子网划分、防火墙设置、区域划分等。

4. 执行审计、审查工作，并实现网络的自动化管理。

• 评估当前的配置情况，找出存在的不足，并利用自动化技术来确保一致性。

5. 制定适用于整个公司的访问控制政策。

• 明确谁可以访问哪些信息，从而确保遵循最小权限原则。

6. 部署网络流量分割网关。

• 实施防火墙、访问控制列表以及网关，以强制执行分割规则。

7. 持续进行审计、审查以及自动化处理工作。

• 随着网络的不断发展，需要持续监控、更新和优化分片策略。

网络分段与微分段之间的区别