Network Segmentation 网络分段
把一个大网络切分成多个独立段,每段之间用 防火墙 / VLAN / 子网 隔离。
为什么要分段:
- 限制横向移动 —— 攻击者打进一个段,不能自动跳到其他段
- 缩小爆炸半径 —— 一台机器中招,不影响整个网络
- 合规要求 —— 比如 PCI-DSS 强制要求处理信用卡的网段隔离
- 性能 —— 流量分散到不同段,减少广播风暴
常见分段策略:
| 分段方式 | 例子 |
|---|---|
| 按部门 | 财务、研发、销售各一段 |
| 按敏感度 | DMZ / 内网 / 数据库网段 |
| 按设备类型 | 服务器 / 员工 PC / IoT |
| 按用户类型 | 员工 / 访客 / 合作方 |
最极端版本叫 Zero Trust ——“假设网络已经被攻破”,每次访问都重新验证,不靠”在内网就可信”。
跟 Security Zone、controlled-zone 是同一类工作的不同抽象层。