網絡分段是一種網絡安全工具，它可以將網絡劃分為不同的網段，每個網段是自成一體的網絡。網絡分段讓一家公司的專家可以根據公司的策略來控制網段之間的數據流。

企業經常使用分段來改善網絡安全、改進監控、提升網絡性能并發現漏洞。

網絡分段簡介

網絡分段是一種組織手段，將公司的網絡劃分為多個網段或子網。每個網段和子網是自成一體的網絡。這可以幫助網絡管理員根據公司的需要來跟蹤不同網段之間的數據流。

網絡分段是一種工具，有助于改善監控、提升性能，并改善企業的網絡安全需求。網絡分段可以防止未經授權的用戶，只允許公司訪問有價值的客戶信息。

為網絡分段的七個步驟

1. 確定最有價值的資產和數據

數據和公司資產在推動業務的價值和發展。

公司應該分析其網絡，看看哪些數據和資產需要最有力的保護。有價值的資產可能包括客戶數據庫或員工信息。要確定如何對數據進行估值，有三個因素：

增長：長期觀察數據增長情況有助于發現當前數據和未來數據當中的模式。

回報：如果資產與客戶數據有關，信任和錢財是需要考慮的重要部分。

風險：丟失數據的風險需要考慮，這有助于找到劃分有價值的數據的正確方法。

2. 用標簽對資產進行分類

按高、中、低不等的重要性來標記資產有助于公司確定并優先考慮應該將網絡安全工作重心放在哪里。為了確定價值，公司必須考慮機密性：

雖然不是所有的數據和資產都具有這樣的機密性，但這是開始標記的有用方法。這些標簽將定義網絡中的信任和保護。

3.檢測網絡和數據流，并繪制成圖

為了檢測網絡和數據流并繪制成圖，公司應該使用標簽核查部門網絡的每一步，以確定基本的數據和網絡流。

在為數據和網絡繪圖時，專家應該注意數據如何流動、數據如何傳輸以及公司使用的方法。

業內專家建議核查所有數據流，以便了解：

北向流量，指離開公司網絡的數據流。

東西向流量，指網絡邊界中的系統之間傳輸的數據流。

南向流量，指進入公司網段的數據流。

網絡分段將網絡劃分為不同的網段，從而提高網絡安全性。

4. 確定公司想要如何為網絡分段

一旦收集了網絡和數據流，公司必須確定如何為網絡分段。雖然防火墻通常是公司的選擇，但它們并不是網絡分段的唯一形式：

交換機是為網絡分段的第二常用方法。公司常常在內部使用交換機，同時在劃分網絡區域時使用防火墻。

氣隙幫助分段實現通過兩家互聯網提供商分布的兩個網絡連接。

模擬電話線是一種為網絡分段的離線方式。部署和配置模擬電話線后，沒有網絡入侵風險。

虛擬局域網（VLAN）是一種廣播域，可以在網絡內部提供分區和隔離，并在部署時實現網絡設計。

點對點加密是為網絡分段的另一種方法，但它也可以杜絕對分段的任何需要。

5. 部署網絡流量分段網關

網段邊界必須快速完成，以便對每個網段內的訪問進行控制。所有網段都需要訪問控制。為了擁有網段邊界，所有進出網段的網絡流量都必須經過網關傳輸。

美國國家安全局表示：“如果部署得當，網段邊界和訪問控制都提供了一種靈活的方式來執行網絡分段，并且在跨越網段傳輸時，數據流可以被動態引導到可以感知應用的防火墻?！?/p>

6. 制定全公司的訪問控制策略

全公司的訪問控制策略至關重要，因為網絡犯罪分子或胡作非為的員工可能擁有不受限制的訪問權限。

美國國家標準與技術研究所（NIST）聲稱：“訪問控制策略是一種高級別的需求，規定了如何管理訪問以及誰可以在什么情況下訪問信息?！?/p>

應該基于最低特權原則來決定全公司的訪問控制策略，使用員工可能擁有的完成工作所需的任何應用程序或設備。

7. 執行審計和審核，并實現網絡自動化

在部署分段網關并創建公司訪問控制策略之后，可以構建分段網關。定義網絡分段策略確實需要隨著公司網絡的變化而變化。

由于經常出現變更，公司需要執行審計和審核，并監控網絡，但這也將幫助公司了解是否出現了任何風險或錯誤。

網絡分段測試可以是網絡安全審計、滲透測試、漏洞掃描和風險評估。

用網絡分段保護貴公司

能夠分隔網段有助于防止大大小小的數據泄露事件。隨著一家公司壯大或變化，公司網絡必須處理龐大流量。

網絡分段提供了可訪問性、更好的性能，并有助于保護整個公司。

本文翻譯自：https://www.datamation.com/security/how-to-segment-a-network/