跳转到主要内容

网络隔离

本文约需 2 分钟阅读

网络分段是指将组织的网络在逻辑上或物理上划分为多个分段 (区段),并通过防火墙或访问控制列表来限制分段之间通信的手法。即使攻击者侵入了某一个分段,也能通过阻止其向其他分段的横向移动 (lateral movement) 来将损害局部化。截至 2025 年,随着零信任架构的普及,微分段的导入正在加速。

现场使用案例

“勒索软件感染了财务部门的终端,但多亏了基于 VLAN 的分段,我们成功阻止了其向开发环境和生产服务器的横向移动。由于感染范围被限制在一个分段内,恢复工作也在 4 小时内完成。”

网络分段概念图

DMZ 分段 (Web 服务器)
业务分段 (员工终端)
通过防火墙控制通信
服务器分段 (数据库、应用)
管理分段 (运维、监控)

分段的手法

物理分段是通过专用交换机或路由器来分离网络的方法,最为可靠但成本较高。基于 VLAN (虚拟 LAN) 的逻辑分段可以在一台交换机上分离多个网络,灵活性出色。微分段是基于零信任理念、以工作负载为单位控制通信的最新方法。网络设计入门书 (Amazon)可以系统地学习。

实务中的设计要点

PCI DSS 将处理持卡人数据的系统与其他网络分离规定为要求。在一般的设计中,以服务器分段、用户分段、DMZ、管理分段这 4 个区段为基础,并根据业务需求进一步细分。分段之间的通信规则以「默认拒绝」为原则,推荐采用仅明确允许必要通信的白名单方式。请用强随机密码保护网络设备的管理控制台,防止分段规则被非法篡改。零信任网络的书籍 (Amazon)也可作为参考。

相关术语

这篇文章对您有帮助吗?

XHatena