网络分片是自IT兴起以来就有的一种经过检验且可靠的网络安全原则。

早在上世纪70年代，James Martin、Saltzer和Schroeder研究提出的最小权限 和职责分离等概念让企业懂得了只能给用户提供业务所需要的系统访问权限，而不提供在此范围之外的权限。但是，在几十年的时间里，有无数的安全事件都是因为一些人获得了本不应该获得的未授权系统访问权限。

显然这里出现了问题。例如，最近出现了来自中国的攻击入侵欧洲网络的事件，黑客攻破了网络，并使用高访问权限盗取数据。这些可能受到制止的攻击获取了正常访问该网络分片的权限。

在本文中，我们将介绍企业网络分片的优点及缺点，重点介绍一些应用网络分片的最佳实践方法，它们可以降低现代无数网络安全威胁所造成的风险。

网络分片的优点

网络分片的定义是指对网络进行分割或隔离——通常采用一个或多个防火墙，但是在政府或军事网络中，出于安全原因的考虑，这可能意味着要在物理上隔离不同的网络，使它们无法连接其他网络或互联网。正确的网络分片有以下作用：

• 以需知的方式给关键服务器和应用程序提供强有力的保护

• 将远程工作者隔离在他们有必要访问的网络区域

• 简化网络管理，其中包括事件监控和意外响应

• 减少由业务合作伙伴和客户不断发起的安全突击审计与调查所付出的人力

虽然这些优点在理论上是非常好的，但是这个任务远远不仅仅是“分片和执行”这么简单。各个组织都必须考虑下面这些网络分片的缺点与挑战：

• 对于跨职能部署而言，对于需要各种内部网络访问的外部供应商和业务流程而言，这些层次的分片访问可能是无法实现的。

• 使用虚拟局域网(VLAN)来执行分片的方式(最常见的方式)咋一看很不错，但是只要知道IP寻址方式，局域网中的任何人都可以绕过某个网络分片预先确定的访问权限限制，直接跳到一个新网段。

(责任编辑：)