为何选择网络分段:网络分段的优势
网络分段可为每个网段提供独特的安全服务,从而更好地控制网络流量、优化网络性能并改善安全状况。
首先,提高安全性。众所周知,安全措施的有力程度完全取决于最薄弱的环节。大型扁平网络不可避免地会呈现出庞大的受攻击面。但是,当大型网络拆分为较小的子网后,子网内网络流量的隔离会减小受攻击面并阻止横向移动。因此,如果网络边界遭到破坏,网段会阻止攻击者在整个网络中横向移动。
此外,分段提供了一种逻辑方法,可在主动攻击在网络中扩散之前将其隔离。例如,分段可确保一个网段中的恶意软件不会影响另一个网段中的系统。创建网段可限制攻击的传播范围,并将受攻击面减小到绝对最小。
接下来,我们讨论一下性能。分段可消除特定网段中不必要的流量,从而减少网络拥塞,促进提高网络性能。例如,医院的医疗设备可以从访客网络中分离出来,这样医疗设备就不会受到客户机 Web 浏览流量的影响。
采用网络分段后,我们减少了每个子网的主机数量,最大限度地减少了每个子网的本地流量,并使外部流量仅限于为子网指定的流量。
网络分段的工作原理是什么?
网络分段会在一个较大的网络中创建多个隔离的网段,每个网段具有不同的安全要求和策略。这些网段包含具有相同信任级别的特定应用或端点类型。
有多种方法可以执行网络分段。我们将了解一下使用 VLAN 实施的基于边界的分段,以及通过网络虚拟化技术在网络中执行的更深入的分段。
基于边界的分段
根据信任级别创建内部和外部网段:网段内部的内容是可信的,外部的一切则均不受信任。因此,对内部资源的限制很少,它们通常在内部网络分段极少的扁平网络上运行。筛选和分段位于固定的网络点。
最初,VLAN 的引入是为了划分广播域以提高网络性能。随着时间的推移,VLAN 逐渐被用作安全工具,但它们的目标绝对不是要用作安全工具。VLAN 的问题是没有 VLAN 内筛选;它们拥有非常广泛的访问权限。
此外,要在网段之间移动,需要有一个策略。借助策略,您可以阻止从一个网段到另一个网段的流量,或者限制流量(基于流量类型、源和目标)。
网络防火墙是用于基于边界的分段的通用工具。它最初用于控制网络流量的南北向移动,同时允许网段内的任意通信。
网络虚拟化
如今,许多企业维护着各种具有特定功能的网络区域,这些功能需要在多个网络点进行分段。此外,网络必须支持的端点已发展为包含众多端点类型,而且每个端点类型具有不同的信任级别。
因此,基于边界的分段已不足以满足需求。随着云、BYOD(自带设备)和移动设备等事物的出现,边界现已变得模糊,没有明确的分界点。我们现在需要对网络进行更深入地分段,以实现更出色的安全性和网络性能。此外,在当前的东西向流量模式下,还需要更多的网络分段。这正是网络虚拟化发挥作用的地方,它将分段提升到了新的高度。
最简单的网络虚拟化形式就是,独立于物理基础架构置备网络和安全服务。通过在整个网络(而不只是边界)中启用网络分段,网络虚拟化在推动高效网络分段方面发挥着关键作用。实际上,我们过去所采用的基于边界的分段现在已实现虚拟化,并与灵活、精确的安全策略一起分布到网络中的每个分段。
相关解决方案和产品
微分段
定义和实施跨云环境的网络安全策略。
NSX Distributed Firewall
通过分布在每个工作负载上的全栈防火墙来保护您的数据中心,而且该防火墙无需更改网络,可自动执行策略并消除盲点。
NSX Data Center
网络和安全性虚拟化平台