為什么給網(wǎng)絡(luò)分段？網(wǎng)絡(luò)分段后的優(yōu)缺點(diǎn)是什么？網(wǎng)絡(luò)分段一般將ip地址按節(jié)點(diǎn)計(jì)算機(jī)所在網(wǎng)絡(luò)的規(guī)模的大小分為A類、B類、C類、D類和E類五類。網(wǎng)絡(luò)分段是經(jīng)過(guò)檢驗(yàn)而可靠的網(wǎng)絡(luò)安全原則之一，在IT開(kāi)始出現(xiàn)時(shí)，網(wǎng)絡(luò)分段就已經(jīng)存在?；仡?0世紀(jì)70年代James Martin和Saltzer及Schroeder的作品，其中的最小特權(quán)和職責(zé)分離的概念讓企業(yè)限制用戶只能訪問(wèn)有業(yè)務(wù)需求的系統(tǒng)。然而，在這種概念出現(xiàn)幾十年后，仍然有不計(jì)其數(shù)的事故涉及對(duì)系統(tǒng)的未經(jīng)授權(quán)訪問(wèn)，而這些系統(tǒng)根本就不應(yīng)該被訪問(wèn)。

　　舉個(gè)例子，最近某國(guó)攻擊者入侵歐洲網(wǎng)絡(luò)，攻擊者使用了高權(quán)限訪問(wèn)來(lái)竊取數(shù)據(jù)。如果通過(guò)網(wǎng)絡(luò)分段部署了正確的訪問(wèn)限制，這些攻擊原本可以被阻止。

　　在本文中，我們將討論企業(yè)網(wǎng)絡(luò)分段的優(yōu)點(diǎn)和缺點(diǎn)，并提供部署網(wǎng)絡(luò)分段的最佳做法來(lái)減少各種網(wǎng)絡(luò)安全威脅帶來(lái)的風(fēng)險(xiǎn)。

　　網(wǎng)絡(luò)分段的好處

　　網(wǎng)絡(luò)分段是指網(wǎng)絡(luò)的分離或隔離(通常使用一個(gè)或多個(gè)防火墻)，適當(dāng)?shù)木W(wǎng)絡(luò)分段可以帶來(lái)以下好處：

　　為關(guān)鍵服務(wù)器和應(yīng)用提供強(qiáng)有力的保護(hù)

　　限制遠(yuǎn)程工作人員到他們所需的網(wǎng)絡(luò)區(qū)域

　　簡(jiǎn)化網(wǎng)絡(luò)管理，包括事件監(jiān)控和事件響應(yīng)

　　面對(duì)永無(wú)止境的安全審計(jì)和來(lái)自業(yè)務(wù)伙伴及客戶的問(wèn)卷調(diào)查，網(wǎng)絡(luò)分段可以最大限度地減小這方面的工作

　　雖然在理論上來(lái)說(shuō)，這些優(yōu)點(diǎn)都很好，但網(wǎng)絡(luò)分段不只是“分段就完事了”，還有很多工作需要做。同時(shí)，企業(yè)還必須考慮網(wǎng)絡(luò)分段帶來(lái)的以下缺點(diǎn)和挑戰(zhàn)：

　　對(duì)于跨職能部門、外部供應(yīng)商以及需要大量?jī)?nèi)部網(wǎng)絡(luò)訪問(wèn)的業(yè)務(wù)流程，按照他們的訪問(wèn)水平進(jìn)行分段幾乎是不可能的。

　　使用虛擬局域網(wǎng)(VLAN)進(jìn)行分段(這是最常見(jiàn)的類型)似乎是一個(gè)好主意，但本地網(wǎng)絡(luò)的任何人只要知道IP尋址方案，他們都可以簡(jiǎn)單地跳到新的網(wǎng)段，并且可以繞過(guò)網(wǎng)絡(luò)分段的訪問(wèn)限制。

　　在執(zhí)行安全漏洞掃描時(shí)，網(wǎng)絡(luò)分段真的是非常麻煩。你將需要根據(jù)訪問(wèn)控制列表或防火墻規(guī)則物理地或邏輯地將你的掃描儀在網(wǎng)段間移動(dòng)，你可能還需要部署遠(yuǎn)程掃描傳感器。

　　如果企業(yè)沒(méi)有使用端點(diǎn)安全控制(例如反惡意軟件、入侵防御和數(shù)據(jù)丟失防護(hù))來(lái)應(yīng)對(duì)每個(gè)網(wǎng)段內(nèi)的惡意活動(dòng)(例如惡意軟件感染或內(nèi)部威脅)，他們?nèi)匀粚?huì)面臨很大的風(fēng)險(xiǎn)。

　　現(xiàn)在企業(yè)使用的很多面向互聯(lián)網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備、服務(wù)器、web應(yīng)用和云服務(wù)都必須在全球范圍內(nèi)提供可用性，企業(yè)可能會(huì)試圖拒絕壞流量進(jìn)入網(wǎng)絡(luò)，但這正變得越來(lái)越難以實(shí)現(xiàn)。

　　高管不希望其計(jì)算體驗(yàn)受到阻礙。

　　然而，網(wǎng)絡(luò)分段并不總是解決問(wèn)題的辦法。并且，特定業(yè)務(wù)流程、合作伙伴網(wǎng)絡(luò)連接或缺乏網(wǎng)絡(luò)管理資源(金錢或技能)可能是更為優(yōu)先的考慮因素。在追求安全與便利性的平衡中，后者往往更加重要。不過(guò)，這些并不意味著你不應(yīng)該部署網(wǎng)絡(luò)分段。

　　讓筆者深感有趣的是，很多企業(yè)(大型企業(yè)在內(nèi))部署了各種水平的網(wǎng)絡(luò)分段，而沒(méi)有完全了解其中的真正風(fēng)險(xiǎn)。要知道，你不能保護(hù)你不認(rèn)識(shí)的東西。如果你沒(méi)有清楚認(rèn)識(shí)這是什么以及風(fēng)險(xiǎn)何在，你將無(wú)法部署長(zhǎng)期可行的有效的網(wǎng)絡(luò)分段。

　　當(dāng)今的“全連接”網(wǎng)絡(luò)無(wú)疑有利于安全攻擊的執(zhí)行，而我們可以使用經(jīng)過(guò)驗(yàn)證可靠的安全原則來(lái)預(yù)防這些攻擊。對(duì)于一切與安全有關(guān)的事物，并沒(méi)有放之四海而皆準(zhǔn)的解決辦法;每個(gè)網(wǎng)絡(luò)都是不同的，每個(gè)企業(yè)都有獨(dú)特的需求，同時(shí)，每個(gè)部門的業(yè)務(wù)主管都有不同的信息風(fēng)險(xiǎn)容忍度。

　　那么，最適合你企業(yè)的是什么?這恐怕只有你自己知道。首先，防火墻規(guī)則、ACL和VLAN組合將能夠明確誰(shuí)和哪些系統(tǒng)需要訪問(wèn)你網(wǎng)絡(luò)的特定區(qū)域。其次，強(qiáng)大的滲透測(cè)試和持續(xù)的安全評(píng)估將幫助企業(yè)明確需要哪些額外的安全措施。你可能會(huì)發(fā)現(xiàn)，你需要額外的IPS傳感器、更強(qiáng)的文件訪問(wèn)控制，或者甚至更專注于DLP控制。

　　在企業(yè)選擇了正確的工具和技術(shù)組合后，困難的工作開(kāi)始了：真正開(kāi)始執(zhí)行“理想的”網(wǎng)絡(luò)分段。當(dāng)然，決定你是否需要部署網(wǎng)絡(luò)分段的業(yè)務(wù)驅(qū)動(dòng)因素也將發(fā)揮一定作用。這可能包括已知風(fēng)險(xiǎn)、合規(guī)性(例如PCI DSS)或者合同要求，或者需要這個(gè)功能的特定業(yè)務(wù)流程。雖然企業(yè)可能永遠(yuǎn)也達(dá)不到“理想狀態(tài)”，但重要的是你盡了一切努力來(lái)最大限度地減少網(wǎng)絡(luò)攻擊區(qū)域。

　　以上就是什么企業(yè)要對(duì)網(wǎng)絡(luò)進(jìn)行分段的原因，面對(duì)企業(yè)現(xiàn)在要應(yīng)對(duì)的網(wǎng)絡(luò)復(fù)雜性，盡量減小安全事故的影響與防止安全事故同樣重要。希望能幫到大家，謝謝閱讀。

最新評(píng)論