网络分段是一种网络安全技术，可将网络划分为不同的较小子网，从而使网络团队能够在这些子网间进行隔离并为每个子网提供独特的安全控制和服务。

网络分段的过程涉及将物理网络划分为不同的逻辑子网。一旦将网络细分为更易于管理的较小单元，即可对划分的各个网段应用控制措施

网络分段可为每个网段提供独特的安全服务，从而更好地控制网络流量、优化网络性能并改善安全状况。

首先，提高安全性。众所周知，安全措施的有力程度完全取决于最薄弱的环节。大型扁平网络不可避免地会呈现出庞大的受攻击面。但是，当大型网络拆分为较小的子网后，子网内网络流量的隔离会减小受攻击面并阻止横向移动。因此，如果网络边界遭到破坏，网段会阻止攻击者在整个网络中横向移动。
此外，分段提供了一种逻辑方法，可在主动攻击在网络中扩散之前将其隔离。例如，分段可确保一个网段中的恶意软件不会影响另一个网段中的系统。创建网段可限制攻击的传播范围，并将受攻击面减小到绝对最小。

接下来，我们讨论一下性能。分段可消除特定网段中不必要的流量，从而减少网络拥塞，促进提高网络性能。例如，医院的医疗设备可以从访客网络中分离出来，这样医疗设备就不会受到客户机 Web 浏览流量的影响。

采用网络分段后，我们减少了每个子网的主机数量，最大限度地减少了每个子网的本地流量，并使外部流量仅限于为子网指定的流量。

网络分段会在一个较大的网络中创建多个隔离的网段，每个网段具有不同的安全要求和策略。这些网段包含具有相同信任级别的特定应用或端点类型。

有多种方法可以执行网络分段。我们将了解一下使用 VLAN 实施的基于边界的分段，以及通过网络虚拟化技术在网络中执行的更深入的分段。

基于边界的分段

根据信任级别创建内部和外部网段：网段内部的内容是可信的，外部的一切则均不受信任。因此，对内部资源的限制很少，它们通常在内部网络分段极少的扁平网络上运行。筛选和分段位于固定的网络点。

最初，VLAN 的引入是为了划分广播域以提高网络性能。随着时间的推移，VLAN 逐渐被用作安全工具，但它们的目标绝对不是要用作安全工具。VLAN 的问题是没有 VLAN 内筛选；它们拥有非常广泛的访问权限。

此外，要在网段之间移动，需要有一个策略。借助策略，您可以阻止从一个网段到另一个网段的流量，或者限制流量（基于流量类型、源和目标）。
网络防火墙是用于基于边界的分段的通用工具。它最初用于控制网络流量的南北向移动，同时允许网段内的任意通信。

网络虚拟化

如今，许多企业维护着各种具有特定功能的网络区域，这些功能需要在多个网络点进行分段。此外，网络必须支持的端点已发展为包含众多端点类型，而且每个端点类型具有不同的信任级别。

因此，基于边界的分段已不足以满足需求。随着云、BYOD（自带设备）和移动设备等事物的出现，边界现已变得模糊，没有明确的分界点。我们现在需要对网络进行更深入地分段，以实现更出色的安全性和网络性能。此外，在当前的东西向流量模式下，还需要更多的网络分段。这正是网络虚拟化发挥作用的地方，它将分段提升到了新的高度。

最简单的网络虚拟化形式就是，独立于物理基础架构置备网络和安全服务。通过在整个网络（而不只是边界）中启用网络分段，网络虚拟化在推动高效网络分段方面发挥着关键作用。实际上，我们过去所采用的基于边界的分段现在已实现虚拟化，并与灵活、精确的安全策略一起分布到网络中的每个分段。