什么是网络分段？

Globaldc

网络分段 是一种 网络安全 技术，它将网络划分为更小的、不同的子网络，使网络团队能够划分子网络并为每个子网络提供独特的安全控制和服务。网络分段的过程涉及将物理网络划分为不同的逻辑子网络。一旦网络被细分为更小、更易于管理的单元，控制就会应用于单独的、划分的部分。

什么是网络分段？

为什么选择网络分段：网络分段的好处

网络分段为每个网段提供独特的安全服务，从而更好地控制网络流量、优化网络性能并改善安全状况。

第一，更好的安全性。我们都知道，有了安全性，您的强大程度取决于您最薄弱的环节。大型扁平网络不可避免地会出现较大的攻击面。然而，当一个大型网络被分割成更小的子网络时，子网络内网络流量的隔离会减少攻击面并阻碍横向移动。因此，如果网络边界被破坏，网段会阻止攻击者在整个网络中横向移动。

此外，分段提供了一种逻辑方法，可以在主动攻击在网络中传播之前将其隔离。例如，分段可确保一个分段中的恶意软件不会影响另一分段中的系统。创建分段可以限制攻击的传播范围，并将攻击面减少到绝对最小值。

接下来，让我们谈谈性能。分段可减少网络拥塞，从而通过消除特定分段中不必要的流量来提高网络性能。例如，可以将医院的医疗设备与其访客网络分开，这样医疗设备就不会受到访客网络浏览流量的影响。

由于网络分段，我们每个子网的主机更少，每个子网的本地流量最小化，并将外部流量限制在为子网指定的流量。

网络分段是如何工作的？

网络分段在更大的网络中创建了多个隔离的分段，每个分段都可以有不同的安全要求和策略。这些段包含具有相同信任级别的特定应用程序或端点类型。

有多种方法可以执行网络分段。我们将研究使用 VLAN 实现的基于边界的分段，然后使用网络虚拟化技术在网络中执行更深层次的分段。

基于周界的分割

基于边界的分段基于信任创建内部和外部分段：网络分段内部的内容是可信的，外部的则不可信。因此，对内部资源的限制很少，通常在具有最小内部网络分段的平面网络上运行。过滤和分割在固定的网络点。

最初，引入 VLAN 来划分广播域以提高网络性能。随着时间的推移，VLAN 逐渐被用作一种安全工具——但它们从未被用作安全工具。VLAN 的问题是没有 VLAN 内过滤；他们拥有非常广泛的访问权限。

什么是网络分段？

此外，要在细分市场之间移动，需要有一个策略。使用策略，您可以停止从一个段到另一个段的流量或限制流量（基于流量类型、源和目标）。网络防火墙是用于基于边界的分段的常用工具。它最初用于控制网络流量的南北移动，同时允许段内的任意通信。

网络虚拟化

今天，许多组织维护着各种具有特定功能的网络区域，这些区域需要在多个网络点进行分段。此外，网络必须支持的端点已经发展到包括多种端点类型，每种类型都具有不同的信任级别。

因此，基于周界的分割不再足够。例如，随着云、BYOD 和移动设备的出现，边界现在变得模糊，没有明确的分界点。我们现在需要更多的分段，更深入的网络，以实现更好的安全性和网络性能。此外，在今天的东西向流量模式下，还需要更多的网络分段。这就是网络虚拟化发挥作用的地方，因为它将分段提升到了一个新的水平。

网络虚拟化最简单的形式是提供独立于物理基础设施的网络和安全服务。通过在整个网络中启用网络分段，而不仅仅是在外围，网络虚拟化在推动高效网络分段方面发挥着关键作用。实际上，我们过去习惯的基于边界的分段现在已经虚拟化和分布式——连同灵活、细粒度的安全策略——一直到网络中的每个分段。