网络分段是经过检验而可靠的网络安全原则之一，在IT开始出现时，网络分段就已经存在。

　　回顾20世纪70年代James Martin和Saltzer及Schroeder的作品，其中的最小特权和职责分离的概念让企业限制用户只能访问有业务需求的系统。然而，在这种概念出现几十年后，仍然有不计其数的事故涉及对系统的未经授权访问，而这些系统根本就不应该被访问。

　　举个例子，最近某国攻击者入侵欧洲网络，攻击者使用了高权限访问来窃取数据。如果通过网络分段部署了正确的访问限制，这些攻击原本可以被阻止。

　　在本文中，我们将讨论企业网络分段的优点和缺点，并提供部署网络分段的最佳做法来减少各种网络安全威胁带来的风险。

　　网络分段的好处

　　网络分段是指网络的分离或隔离(通常使用一个或多个防火墙)，但在政府或军方，它可能意味着出于安全原因，物理隔离网络，断开网络与其他网络或互联网的连接。适当的网络分段可以带来以下好处：

　　为关键服务器和应用提供强有力的保护

　　限制远程工作人员到他们所需的网络区域

　　简化网络管理，包括事件监控和事件响应

　　面对永无止境的安全审计和来自业务伙伴及客户的问卷调查，网络分段可以最大限度地减小这方面的工作

　　虽然在理论上来说，这些优点都很好，但网络分段不只是“分段就完事了”，还有很多工作需要做。同时，企业还必须考虑网络分段带来的以下缺点和挑战：

　　对于跨职能部门、外部供应商以及需要大量内部网络访问的业务流程，按照他们的访问水平进行分段几乎是不可能的。

　　使用虚拟局域网(VLAN)进行分段(这是最常见的类型)似乎是一个好主意，但本地网络的任何人只要知道IP寻址方案，他们都可以简单地跳到新的网段，并且可以绕过网络分段的访问限制。

　　在执行安全漏洞扫描时，网络分段真的是非常麻烦。你将需要根据访问控制列表或防火墙规则物理地或逻辑地将你的扫描仪在网段间移动，你可能还需要部署远程扫描传感器。

　　如果企业没有使用端点安全控制(例如反恶意软件、入侵防御和数据丢失防护)来应对每个网段内的恶意活动(例如恶意软件感染或内部威胁)，他们仍然将会面临很大的风险。