網路分段是一項網路安全性技術，會將網路劃分為多個較小的不同子網路，以協助網路團隊區隔這些子網路，並為每個子網路提供獨特的安全性控制機制和服務。

網路分段的流程，包含將實體網路分割為不同的邏輯子網路。在將網路細分為較小且較容易管理的單元後，即可將控制機制套用至個別的區隔化區段

網路分段會針對每個網路分段提供獨特的安全服務，以進一步掌控網路流量、將網路效能最佳化，並改善安全態勢。

首先是更出色的安全性。大家都知道就安全性而言，我們的強健度取決於自己最薄弱的環節所在。大型的扁平網路勢必會構成大型攻擊範圍。但是，如果將大型網路分割成多個較小的子網路，那麼隔離這些子網路中的網路流量後，就可縮小攻擊範圍並阻礙橫向移動。因此，如果網路周邊遭到入侵，網路分段就能阻止攻擊者在網路中橫向移動。
此外，分段提供了一種符合邏輯的方法，能在主動式攻擊散佈至網路中之前，先行隔離該攻擊。舉例來說，分段可確保某一分段中的惡意軟體不會影響另一分段中的系統。建立分段時，會限制攻擊可散佈的距離，並將攻擊範圍縮減至最低限度。

接下來，讓我們來探討效能。分段可移除特定分段中的不必要流量，以減少網路壅塞，進而提升網路效能。例如，醫院的醫療裝置可與醫院的訪客網路劃分，這樣醫療裝置就不會受到訪客網路瀏覽流量的影響。

進行網路分段之後，即可減少每個子網路的主機數量、將每個子網路的本機流量降至最低，並且能將外部流量限制為僅可達到該子網路的指定流量。

網路分段會在一個較大的網路中建立多個隔離的分段，而每個分段都可能有不同的安全性需求和原則。這些區段會保有相同信任層級的特定應用程式或端點類型。

網路分段可透過多種方式執行。以下我們將探討以 VLAN 實作的周邊式分段作業，以及運用網路虛擬化技術以更深入網路執行的分段作業。

周邊式分段

周邊式分段會依據信任程度來建立內部和外部分段：在網路分段內部的內容都是受到信任的內容，而外部內容則一概不受到信任。因此，內部資源幾乎不會受到限制，這類資源通常會在扁平網路上運作，並採用最低限度的內部網路分段。篩選和分段會在固定的網路點進行。

最初採用 VLAN 是為了劃分廣播網域，以提高網路效能。隨著時間經過，VLAN 逐漸被用來做為安全性工具，但安全性工具從來都不是 VLAN 的預期用途。VLAN 的問題，在於沒有 VLAN 內篩選功能；因此其存取範圍非常廣泛。

此外，若要在不同分段之間移動，必須具備原則。透過原則，您可以停止從某一分段傳到另一個分段的流量，或者也可限制流量 (依據流量類型、來源和目的地而定)。
就周邊式分段來說，網路防火牆是常用工具。最初採用網路防火牆，是為了控制網路流量的南北向移動，同時允許在分段內進行任意通訊。

網路虛擬化

目前，許多企業都保有具有特定功能的各種網路區域，而這些特定功能都需要在眾多網路點進行分段。此外，網路必須支援的端點數量已增長至包含眾多端點類型，而且各有不同的信任層級。

因此，周邊式分段已無法滿足需求。隨著如雲端、用戶自攜裝置與行動裝置等技術的出現，現今的周邊已變得模糊，沒有明確的分界點。我們現在需要更多分段，並更深入網路，才可實現更出色的安全性和網路效能。而且，面對現在採用的東西向流量模式，還有更多網路分段作業需要進行。這時網路虛擬化就可發揮作用，因為這項技術能將分段推向全新境界。

最簡單的網路虛擬化形式，就是佈建獨立在實體基礎架構之外的網路與安全服務。網路虛擬化可在整個網路中進行網路分段，而非只在周邊進行網路分段，因此在推動高效率網路分段中扮演著舉足輕重的角色。實際上，我們過去所使用的周邊式分段現在皆已虛擬化，並與靈活的精細安全性原則一同向下分配至網路的每個分段。