网络分段

网络侵入是在线购物中不可避免的风险。威胁是不可避免的，每个系统都必须能够承受入侵。一种网络安全方法被证明在减轻网络侵犯的影响方面特别有效。

网络分段是一种信息安全方法。

在有效的数据泄露中，网络分段可以保护网络的关键部分。如果结构被侵犯，这种应对机制可以限制攻击者造成的破坏程度。

本文讨论了网络分段的所有安全优势。您将了解多层安全如何抵御攻击，以及为什么区分比纯网络架构更可靠。

什么是网络分段？

计算机网络被分段是指它被划分为更小的组件。目标是提高系统可靠性和功能性。网络隔离、网络集群和网络分离都指的是相似的概念。

将系统划分为多个段的步骤称为网络分段。这些段是通过在不需要通信的系统组件之间竖起屏障来形成的。例如，一家公司可以为其复印机指定一个路由器，或者为数据存储指定一个部分。

当您对基础设施进行分区时，每个路由器都充当一个独立的结构，拥有自己的一套安全和保障规定。您可以使用这种网络架构来控制网段之间的网络流量。您可以防止一个部分中的所有拥塞影响到另一个部分。网络工程师还使用网络分段来根据流量类型、来源或意图扫描信息流。

隔离网络组件会降低风险在结构中自由移动的动力。如果通道的一部分被侵犯，系统的许多部分就不会受到损坏。

分段实例

考虑一家拥有多个分支机构的大型银行。银行的安全计划阻止分行员工访问其财务报告流程。通过减轻所有分行流量到达银行部门，网络分段可以帮助实施安全程序。此外，通过显著减少数据流量，金融系统可以为使用它的金融专家有效运行。

网络分段的类型

网络管理员可以对网络进行物理或虚拟分段。让我们考虑两种分段技术。

• 物理网络分段

物理分段包括将一个大型网络划分为多个小型物理单元。它通常需要购买额外的设备，包括交换设备、适配器和路由器。

虽然物理网络分段可能是分解网络的最简单方法，但它通常非常昂贵，并且可能导致意外的后果。

• 虚拟网络分段

虚拟网络分段是将网络进行分发的、最普遍且最具成本效益的做法。各种部分提供相同的防火墙规则，而交换机则维护 VLAN（虚拟局域网）。

这两种区分技术都有优缺点，但结果是相同的。您限制了通信渠道，并使风险难以攻击超过一个网段。

网络分段的工作原理

分段似乎通过控制流量在网段之间渗漏的方式来工作。您可以选择阻止一个网段中的所有流量到达另一个网段，或者您可以根据流量的类型、来源、位置以及各种其他因素来限制流量。区分程序概述了您如何决定对基础设施进行分区。

分段网络

标准的扁平网络易于维护，但它们不提供现有的监控。在纯粹的网络基础设施中，代理服务器会评估所有进来的流量，以防止外部攻击。一旦黑客侵入了网络的保护围栏，几乎没有什么能阻止他们进入数据库系统和关键系统。

分段消除了扁平网络的错误，因为分段网络上的流量较少，效率得以提高。区分网络通过每台路由器拥有的服务器更少，来减轻区域流量并减少网络拥塞中的“噪音”。

网络分段法规的另一个好处是它简化了监管要求。可以将系统划分为包含遵循相同正确程序的信息的区域。不同的地点限制了合规性的要求，同时也简化了安全措施。

常见的网络分段用例

理论上都很好，但在实践中，您会在哪里以及如何对客户的网络进行子分段？以下是一些下面讨论的常见示例情况。

• 创建无线访客网络

客户的访客网络可能同时有线和无线，但十有八九，访客网络是纯粹的无线网络。通过引入新的访客 SSID 并确保它经过优化以提供无线隔离，您实际上是在为访客 Wi-Fi 的每个客户创建一个“迷你网段”，使他们只能访问网络。

• 创建语音网络

与通常是无线的访客网络不同，语音网络通常是有线的。负载均衡和衰减对于高质量的 IP 语音 (VoIP) 至关重要，将其与传统的互联网流量结合可能会降低通话效率。语音网络通常分为具有自己的 IP 子网范围的不同语音 VLAN。

• 区分用户组和服务

是否每个客户和部门都需要对测试环境拥有完全的访问权限？您的客户的主管是否应该能够从财务报表中提取更新？在这两项指控中，答案很可能是“否”。通过将客户网段和服务划分到它们自己的三层网络网段或边缘路由器中，您可以创建一组相关的服务和客户端。

实施分段的法规是什么？

内部安全系统、访问控制列表 (ACL) 和网络基础设施上的虚拟局域网 (VLAN) 设置是文化分类创新的例子。然而，这些策略成本高昂且难以实施。

如今，软件定义的问题通过对网络活动进行分类和跟踪来增强网络活动分段。然后，它使用流量标签直接在网络设备上强制执行分段策略，而无需传统方法的复杂性。

微分段

在分段项目中，微分段利用了更多的细节，例如用户信息。它能够实现更细粒度、更灵活的规则，以满足组织的高度专业化需求或企业网站。

网络分段的优势

在所有信息安全方法中，分段提供了最全面、最有效率的安全。

以下是下面讨论的一些网络分段的安全优势：

1. 强大的数据安全性

您对互联网流量的控制越多，阻止关键数据就越容易。通过限制可以访问您的信息缓存的范围，分段会围绕它们创建一堵墙。

连接到网络的较少网段意味着黑客窃取有价值物品的交叉点更少。

2. 威胁减少

如果黑客侵入结构限制，他们将被限制在单个路由器中。需要一些时间才能连接到整个结构。

当黑客试图侵入其他子网掩码时，管理员有时间来改进其他网段的安全。一旦问题得到控制，管理员就可以将注意力转向被侵犯的网段。

3. 有限访问控制

通过限制用户访问大型组的每个部分，区分有助于防止内部威胁。特权最小化原则是一项安全机制。通过将对不同关键网络的访问限制为少数精选人员，您可以限制攻击者访问系统的可能性。

在信息安全链中，人员是最大的风险，因此最小化特权原则至关重要。根据 Verizon 2020 年安全漏洞报告，恶意电子邮件地址导致了超过三分之二的恶意软件网络侵犯。

如果客户的资格被剥夺或滥用，区分网络将使入侵者远离敏感资金。

如果用户凭证被盗或滥用，区分网络将使入侵者远离敏感资源。

4. 增强的威胁检测和跟踪

通过分段，您可以添加更多远程监控声明。增加检查次数使检测可疑行为更加容易。复杂的监控也有助于确定问题的来源和背景。

管理员可以通过跟踪事件日志和电子导电性来寻找非法行为的迹象。了解入侵者如何行事可以使管理员采取积极的安全策略并保护主要角色。

5. 快速响应时间

由于不同的路由器，管理员可以更快地响应远程操作。当出现威胁或错误时，很容易确定哪些网段受到影响 - 这些观点有助于缩小调试范围。

对远程操作的及时响应也可以改善用户体验。除非专门针对客户的子网受到侵犯，否则客户不会受到结构限制问题的影响。

6. 损害管理

网络分段可减少全面安全攻击的影响。分段通过限制威胁的传播范围，将侵犯控制在一个路由器中，并保护系统的其余部分。网络中的错误也存储在一个路由器中。问题的后果不会在其他区域引起注意，这有助于使故障更容易处理和纠正。

7. 保护终端设备

由于反复的负载均衡，分段可将不必要的活动与不安全的边缘设备隔离开。随着物联网 (IoT) 系统的普及，网络分段的这一优势变得越来越重要。

终端设备既是网络威胁的常见目标，也是常见的主要来源。区分网络会将这些系统隔离开，从而降低整个系统的损害程度。

不要低估网络分段的价值

虽然网络分段不是新事物，但它也没有过时。在减少威胁范围和控制流量之间，区分是检测关键侵犯的最有效方法之一。

目前，网络分段更多地被视为一种推荐的实践框架，而不是先决条件。毕竟，易受网络犯罪影响的公司（尤其是电子支付行业）的模式表明，分段可能会成为强制性的安全机制。无论是否发生这种情况，对某些最具竞争力的行业的节点进行的激烈竞争都引发了关于网络分段的福利计划的问题。