DMZweb serversLANworkstationsSecuredatabasesIoTcamerasFFfirewalls enforce policy between zones

Pembahagian Rangkaian

11 min bacaKeselamatan

Segmentasi rangkaian ialah amalan membahagikan rangkaian kepada zon yang lebih kecil dengan trafik terkawal di antara mereka. Sebaliknya - rangkaian rata di mana setiap peranti boleh mencapai satu sama lain - telah menjadi punca pelanggaran besar-besaran yang tidak terkira banyaknya. Memahami corak segmentasi menjelaskan mengapa IT korporat dibentuk seperti itu dan perkara yang diperlukan untuk mengeraskan rangkaian rumah secara serupa.

Badan artikel penuh disediakan dalam bahasa Inggeris di bawah.

Segmentasi rangkaian ialah amalan seni bina untuk memecahkan rangkaian kepada zon berasingan dengan trafik terkawal di antara mereka. Setiap zon mempunyai dasar sendiri untuk apa yang boleh masuk dan keluar. Matlamat: hadkan jejari letupan sebarang kompromi. Pelanggaran dalam satu zon tidak seharusnya memberikan akses kepada orang lain secara automatik.

Mengapa rangkaian rata berbahaya

A rangkaian rata — di mana setiap peranti boleh bersambung antara satu sama lain pada port standard — ialah lalai sejarah untuk pejabat dan rumah kecil. Masalah:

  • Satu peranti terjejas boleh mengimbas dan menyerang setiap peranti lain.
  • LPergerakan sisi selepas kompromi awal tidak terhad.
  • Sistem sensitif dan titik akhir yang tidak dipercayai berkongsi rangkaian yang sama.
  • Broadcast membanjiri trafik peranti sembang dari keseluruhan peranti rangkaian.
  • Rangka kerja Pematuhan (PCI-DSS, HIPAA) semakin memerlukan pembahagian.

Pelanggaran besar-besaran pada tahun 2010-an — Sasaran, Home Depot, OPM — semua penyerang yang terlibat bergerak dari pijakan awal ke sasaran akhirnya melalui segmen2Z yang rata atau tidak mencukupiXXZPL yang disegmen2Z. patterns

Ttiga peringkat (perusahaan asas):

  • DMZ — pelayan yang menghadap awam (web, mel), boleh dicapai daripada Internet, akses terhad kepada dalaman
  • Dalaman — stesen kerja PLXPLZ3Zsensitif dalaman —PLXPL3Zsensitif dalaman32Zon sensitif dalaman pangkalan data, infrastruktur identiti, dimeterai daripada akses umum

Per-fungsi segmen (pertengahan perusahaan):

  • Workstation VLAN
  • Pelayan VLANXPLZ44VXXoPLZIP4X44VXXPLZ VLAN
  • Pencetak VLAN
  • Wi-Fi Tetamu VLAN
  • IoT VLAN
  • VLAN Pengurusan (hanya boleh diakses oleh pengguna pentadbir)
XPLZ56MXXrosegZ57 Amanah):

  • Segmen setiap aplikasi atau setiap perkhidmatan
  • Setiap beban kerja mempunyai dasar eksplisit untuk perkara yang boleh berkomunikasi dengan perkara
  • Selalunya dikuatkuasakan pada peringkat tembok api hos dan bukannya peranti rangkaianXPLZ66CX
  • WS Keselamatan, Rangkaian Polik Kumpulan, peraturan tembok api GCP

Teknologi

  • VLAN (LAN Maya) — Pembahagian lapisan-2 pada infrastruktur fizikal dikongsi. Lihat artikel VLAN kami. Blok bangunan klasik.
  • Subnetting — Pembahagian lapisan-3; julat IP yang berbeza bagi setiap zon. Penghala menguatkuasakan dasar di antara mereka.
  • Fiwalls — Dasar stateful antara zon. Boleh berbentuk fizikal (Palo Alto, perkakas Fortinet) atau maya (kumpulan keselamatan awan).
  • VxLAN dan SDN — Rangkaian yang ditakrifkan perisian menyokong lebih banyak segmen daripada VLAN tradisional (yang maksimum pada 4094). Linkerd) — mTLS setiap perkhidmatan yang menguatkuasakan segmentasi berasaskan identiti untuk perkhidmatan mikro.
  • Proksi sedar identiti (Cloudflare Access, BeyondCorp) — Identiti pengguna dan bukannya lokasi rangkaian menentukan akses.
XPLZ1 sahaja00XXMengapa segmentasi cukup

Segmentasi mengurangkan jejari letupan tetapi tidak menghalang ancaman tertentu:

  • Penyerang yang mencapai satu segmen masih boleh menyerang apa yang ada dalam segmen itu.
  • Salah konfigurasi membenarkan lebih banyak daripada peraturan dinding yang tidak disengajakan. dimaksudkan).
  • Protokol rangkaian yang direka untuk rangkaian rata (pencetak, IoT, penemuan berbilang hantaran) selalunya menentang pembahagian.
  • Trafik perkhidmatan yang mengalir antara segmen (pelayan web yang memerlukan akses pangkalan data) mencipta laluan yang sah tetapi boleh dieksploitasi.
    • XPLZ114Gabungan segmen-peringkat XPLZ114 dengan dasar peringkat hos, pengesahan berasaskan identiti dan pemantauan tingkah laku. Pembahagian rangkaian tulen diperlukan tetapi tidak mencukupi.

    Untuk rangkaian rumah

    Corak pembahagian rumah yang paling berguna pada 2026:

    • Main LAN — komputer riba, telefon, peranti yang anda percayai.
    • IoT VLAN — kamera, pembesar suara pintar, mentol lampu, apa-apa sahaja yang tidak perlu mencapai komputer riba anda. Benarkan Internet, tolak masuk dari LAN utama dibenarkan untuk mengawalnya.
    • Wi-Fi Tetamu — untuk pelawat, diasingkan daripada segala-galanya.
    • Peranti kerja dari rumah — komputer riba yang majikan anda sediakan pada VLANnya sendiri. Mengurangkan pergerakan data yang tidak disengajakan antara peranti kerja dan peribadi.

    Kebanyakan penghala pengguna mempunyai sokongan "rangkaian tetamu" terbaik. Gear Prosumer (Ubiquiti, MikroTik, OPNsense PC) menyokong VLAN yang betul. Pelaburan perkakasan membayar balik dalam pengurangan jejari insiden-letupan.

    Pelanjutan Zero Trust

    Segmentasi rangkaian dalam model Zero Trust ialah satu bahagian daripada sistem yang lebih luas. Zero Trust menganggap rangkaian itu sendiri tidak boleh dipercayai; setiap permintaan akses disahkan dan dibenarkan tanpa mengira segmen mana ia berasal. Lihat artikel Zero Trust kami.

    Sintesis pragmatik: pembahagian rangkaian untuk pertahanan secara mendalam, serta kawalan akses sedar identiti untuk dasar yang terperinci. Bukan sahaja jawapan moden; bersama-sama mereka membentuk amalan terbaik kontemporari.

Soalan lazim

Adakah saya memerlukan segmentasi di rumah?
Jika anda mempunyai peranti IoT yang anda tidak percaya sepenuhnya (iaitu kebanyakan IoT), ya. Rangkaian rumah rata lalai meletakkan komputer riba anda pada segmen yang sama seperti kamera, mentol lampu dan pembesar suara pintar — mana-mana satu daripadanya boleh terjejas dan digunakan untuk menyerang yang lain. Malah rangkaian tetamu untuk IoT adalah bermakna.
Apakah peningkatan pembahagian rumah yang paling mudah?
Gunakan rangkaian tetamu penghala anda untuk peranti IoT. Kebanyakan penghala memilikinya. Ia tidak sebaik VLAN yang betul tetapi ia adalah titik permulaan yang munasabah. Untuk pembahagian sebenar, penghala prosumer dengan sokongan VLAN (Ubiquiti UniFi, OPNsense pada PC kecil) adalah sekitar $200 dan secara dramatik lebih berkebolehan.
Bolehkah microsegmentation menggantikan VLAN?
Dalam persekitaran awan/Kubernetes, ya — identiti beban kerja menggantikan lokasi rangkaian. Untuk rangkaian fizikal dengan trafik bercampur, VLAN kekal sebagai blok binaan praktikal. Kedua-dua pendekatan wujud bersama dalam persekitaran hibrid moden.
Bagaimanakah pembahagian berbeza daripada tembok api?
Firewall menguatkuasakan dasar antara segmen. Segmentasi ialah keputusan seni bina untuk mempunyai segmen di tempat pertama. Anda boleh mempunyai firewall tanpa segmentasi yang bermakna (satu rangkaian besar dengan firewall perimeter) dan segmen tanpa firewall yang kuat (VLAN dengan penghalaan permisif di antara mereka). Gabungan itulah yang berkesan.
Adakah pembahagian akan melambatkan rangkaian saya?
Minimum pada perkakasan moden. Overhed CPU bagi pemeriksaan tembok api stateful adalah kecil di rumah dan tahap lebar jalur pejabat kecil. Faedah (jejari letupan dikurangkan daripada kompromi) jauh melebihi kos prestasi yang boleh diabaikan.
Segmentasi Rangkaian Dijelaskan: Mengapa Rangkaian "Rata" Dimiliki