通过网络分段提高网络安全性

虽然由于额外的过滤点，分段似乎增加了网络复杂性，但良好的实现将提高和简化安全性.

良好的网络分段是强烈推荐的网络安全实践，它需要称为允许列表或白名单的防火墙策略。你应该如何去实施它？

什么是网络分段？

网络分段将网络划分为安全区域，限制恶意软件在您的网络中传播的能力。在此安全模型中，防火墙过滤安全区域之间的流量，防止未经授权的访问。这使得勒索软件和数据盗窃更难访问敏感数据。相比之下，旧的网络模型基于外围防火墙，一旦获得内部访问权限，入侵者就很容易破坏其他系统。

创建区域和构建所需的防火墙规则是主要挑战。假设您的企业使用基于 Web、应用程序和数据库层的典型客户应用程序。为了保护数据库，您的网络安全设计可以为每一层创建一个网段，并且只允许服务工作所需的层之间的流量。在此示例中，Web 层只能与应用层通信。应用层只能使用特定协议与 Web 层和数据库层进行通信。复杂性在于确定允许在每一层之间进行哪些通信，而不会花费大量时间并且不会犯很多错误。

确定安全区域后，推荐的做法是使用所谓的白名单规则集，也称为允许列表，以允许应用程序所需的网络通信。规则集的默认操作是拒绝所有其他流量。结果是默认拒绝条件，其中包含明确的规则以允许应用程序需要的网络流。

使用网络流量分析工具

现在考虑一下您的企业使用的所有应用程序以及正确分割网络所需的规则集。识别主要应用程序的流程通常相当容易。但不要忽视语音、视频（包括连接设置、会议和直接呼叫）、聊天应用程序和 SMS 等通信功能。不要对财务、客户管理、库存、制造和设施管理等后台应用程序的数量感到惊讶。最后，您需要确定用于 DNS、NTP 和网络管理等网络实用程序的协议。正确处理这一切是我们的一位客户花了两年多时间来完全实施网络分段的原因。