雖然由于額外的過濾點，分段似乎增加了網(wǎng)絡(luò)復(fù)雜性，但良好的實現(xiàn)將提高和簡化安全性.

良好的網(wǎng)絡(luò)分段是強烈推薦的網(wǎng)絡(luò)安全實踐，它需要稱為允許列表或白名單的防火墻策略。你應(yīng)該如何去實施它？

什么是網(wǎng)絡(luò)分段？

網(wǎng)絡(luò)分段將網(wǎng)絡(luò)劃分為安全區(qū)域，限制惡意軟件在您的網(wǎng)絡(luò)中傳播的能力。在此安全模型中，防火墻過濾安全區(qū)域之間的流量，防止未經(jīng)授權(quán)的訪問。這使得勒索軟件和數(shù)據(jù)盜竊更難訪問敏感數(shù)據(jù)。相比之下，舊的網(wǎng)絡(luò)模型基于外圍防火墻，一旦獲得內(nèi)部訪問權(quán)限，入侵者就很容易破壞其他系統(tǒng)。

創(chuàng)建區(qū)域和構(gòu)建所需的防火墻規(guī)則是主要挑戰(zhàn)。假設(shè)您的企業(yè)使用基于 Web、應(yīng)用程序和數(shù)據(jù)庫層的典型客戶應(yīng)用程序。為了保護(hù)數(shù)據(jù)庫，您的網(wǎng)絡(luò)安全設(shè)計可以為每一層創(chuàng)建一個網(wǎng)段，并且只允許服務(wù)工作所需的層之間的流量。在此示例中，Web 層只能與應(yīng)用層通信。應(yīng)用層只能使用特定協(xié)議與 Web 層和數(shù)據(jù)庫層進(jìn)行通信。復(fù)雜性在于確定允許在每一層之間進(jìn)行哪些通信，而不會花費大量時間并且不會犯很多錯誤。

確定安全區(qū)域后，推薦的做法是使用所謂的白名單規(guī)則集，也稱為允許列表，以允許應(yīng)用程序所需的網(wǎng)絡(luò)通信。規(guī)則集的默認(rèn)操作是拒絕所有其他流量。結(jié)果是默認(rèn)拒絕條件，其中包含明確的規(guī)則以允許應(yīng)用程序需要的網(wǎng)絡(luò)流。

使用網(wǎng)絡(luò)流量分析工具

現(xiàn)在考慮一下您的企業(yè)使用的所有應(yīng)用程序以及正確分割網(wǎng)絡(luò)所需的規(guī)則集。識別主要應(yīng)用程序的流程通常相當(dāng)容易。但不要忽視語音、視頻（包括連接設(shè)置、會議和直接呼叫）、聊天應(yīng)用程序和 SMS 等通信功能。不要對財務(wù)、客戶管理、庫存、制造和設(shè)施管理等后臺應(yīng)用程序的數(shù)量感到驚訝。最后，您需要確定用于 DNS、NTP 和網(wǎng)絡(luò)管理等網(wǎng)絡(luò)實用程序的協(xié)議。正確處理這一切是我們的一位客戶花了兩年多時間來完全實施網(wǎng)絡(luò)分段的原因。