关于网络安全域隔离问题 你真的了解吗？

从历史发展的角度看，安全域隔离一直是传统安全领域广泛采用的防御手段，比如起建于春秋战国期间的边塞长城一直延续至明末都在发挥巨大作用，坚城巨塞外围都会建设起高高城墙、宽宽的护城河等等，无论长城还是城墙，它们的目的都是为了形成关里关外、城里城外两个安全域，以便于实施统一的防护策略，也是为了方便同一安全域内的实体能够相对比较容易沟通及联系。

在企业网络安全防护方面，网络安全域隔离也是网络安全防御最重要、最基础的手段之一，也是企业数据中心、信息系统建设最先需要考虑的基础性问题。

但是在企业网络安全建设过程中，网络安全域隔离的有效落实却面临各种各样的问题，本文就是对此问题的一些思考，记录下来以供各位参考。

一、什么是网络安全域

网络安全域就是一组安全等级相同、业务类型/功能相似的计算机、服务器、数据库、业务系统等构成的系统，具体表现在网络中可能是一个IP网段（一个C段、一个B段）或几个网段**，或者是一个VLAN或几个VLAN**，或者是连接一个防火墙接口下的整个网络区域，或者是机房里的一个机柜或几个机柜等。

上面的解释其实还是比较抽象，举几个例子，比如存储****的数据库服务器与供客户访问的Web服务器显然就不是一个安全等级，测试环境的服务器与正式提供服务的生产服务器显然也不是一个安全等级，因此，要对他们进行安全域划分。

总的来说，一个安全域其实就是一个信任域，在符合监管要求的情况下你可以把一些你认为可以相互信任的计算机、设备放置在一个安全信任域当中，在信任域内部实施较松的安全策略，而信任域边界实施较为严格监控、访问控制等。每个信任域内服务器的多寡取决于单位信息系统建设、信息安全意识等多方面因素的制约。

从网络攻击者的角度来说，有一种典型的攻击方式叫横向渗透攻击，其含义是攻击者拿下了内网的某一台主机，为了扩大战果，往往会对该主机所在的C类地址段进行扫描，因为在企业内部一般同一个C类地址段不会有进一步的网络隔离划分。

此时，这是一个C类段处于风险之中，那么如果我们没有进行网络安全域隔离，那么，整个数据中心都有可能处于攻击者的直接打击范围。

基于这后一点，我们明白了，网络安全域隔离其实就是将整个网络划分为一个一个比较小的安全信任域，要不然整个网络处于一张平面，攻击者拿下一个地址之后，可以对整个网络进行扫描探测发现。

二、网络安全域隔离有什么好处

一是可以将坏东西、坏人隔离在