我刚完成奥黑尔的安全检查,真是一次冒险!办理登机手续的人群很多,安全线很长(幸运的是我进行了TSA预先检查),好像要经过500个登机口才能到达航站楼远端的登机口。
我们都知道为什么在机场设有安全检查站。他们确保只有属于登机口的人员才在登机口,并且确保飞机上没有恶意行为者。但是为什么会有这么多的大门?幸运的是,它们按逻辑顺序排列,所以我可以找到想要的东西。
因此,在机场,多个安全检查站确保事情安全,上锁的门确保了我无法进入自己不属于的区域,逻辑标签有助于将我引导到需要的地方。
网络分段对网络流量的工作方式相似。那么什么是网络分段?
什么是网络分段?
简而言之,网络分段是将计算机网络进行逻辑上和物理上分解为多个较小片段的概念。
物理细分 涉及将大型网络分解为许多较小的物理组件。它通常涉及投资其他硬件,例如 开关,路由器和访问点。
虽然物理分段看起来像是断开网络的简单方法,但它通常非常昂贵,并可能导致意外问题。考虑一下彼此相邻有两个Wi-Fi接入点 广播不同的SSID—效率低下并可能导致冲突。
逻辑分割 是将网络分成可管理的块的更流行的方法。通常,逻辑分段不需要新硬件,前提是已经管理了基础架构。
相反,逻辑分段使用网络基础结构中已经内置的概念,例如创建共享物理交换机的单独的虚拟局域网(VLAN),或将不同的资产类型划分为不同的第3层子网和 使用路由器 在子网之间传递数据。
网络分段的好处
现在我们知道了如何分割网络,问题就变成了为什么。而且有很多重要的原因。您可以对网络进行分段以实现以下一项或全部目的:
- 改善网络可见性和监控
- 提高网络安全性
- 控制对特定网络设备的物理访问
- 减少中断或攻击期间的爆炸半径
- 提高网络性能
改善可见性和监控
通过网络分段,您可以在网络中引入更多可以检查,计算和监视流量的点。例如,确保东西方流量通过核心路由器,可以监控子网之间的流量。
增加安全性
通过确保不同的设备组通过防火墙,您可以将访问控制列表应用于流量并启用最低特权的概念。它还允许安全工具检查流量,以发现潜在威胁。
控制对特定网络设备的物理访问
物理分段的结果是,网络设备的不同物理部分承载不同的流量类型。通过将设备放置在单独的数据中心或单独的锁定机架中,这使您可以删除对网络基础结构的物理访问。您会在高安全性环境中更常见地看到这种类型的细分。
减少中断或攻击期间的爆炸半径
在一个万无一失的世界中,无需控制爆炸。但是现实是 广播风暴,带宽占用和其他网络问题可能会影响整个网络,除非它们仅限于本地子网。而且当出现问题时,细分会缩小故障排除的重点领域,从而显着减少平均解决时间。
提高绩效
较小的子网意味着每个子网上的主机数量减少。更少的主机意味着您可以构建和实施更精细的服务质量策略。更少的主机也意味着更少的流量和更小的广播域。减少广播域可减少“噪音”。总而言之,网络分段有助于全面提高性能。
常见的网络细分用例
从理论上讲,这一切都很棒,但是您将如何实际划分客户网络?在哪里?以下是一些常见方案。
创建访客无线网络
从理论上讲,客户的访客网络可以是有线的也可以是无线的,但十分之九的访客网络是纯无线的。通过实施新的来宾SSID并确保将其配置为提供无线隔离,您可以为来宾Wi-Fi的每个用户有效地创建一个“迷你细分”,使他们能够看到互联网,而没有其他任何东西。
建立语音网络
与通常是无线的访客网络不同,语音网络通常是有线的。低延迟和低抖动对于高质量的IP语音(VoIP)极为重要,将其与传统数据流量混合会降低通话体验。语音网络通常被划分为单独的语音VLAN,并使用专用的IP子网范围。
将用户组与服务分开
是否每个用户和每个部门都需要访问实验室环境?您客户办公室的接待员是否应该能够从会计系统中提取报告?两种说法都可能是“否”。通过将用户组和服务分成自己的第3层网段或子网,可以创建相似用户和服务的分组。然后,您可以围绕这些组建立业务逻辑,以确保合适的人可以访问合适的事物。
我刚刚了解了网络细分的知识。如果您想了解更多信息,我建议澳大利亚政府在 实施网络分段和隔离 和思科的 通过分段保护数据的框架 作为两个不错的起点。
