網絡分段

網絡分段是經過檢驗而可靠的網絡安全原則之一，在IT開始出現時，網絡分段就已經存在。

適當的網絡分段可以帶來以下好處：

· 為關鍵服務器和應用提供強有力的保護
　　· 限制遠程工作人員到他們所需的網絡區域
　　· 簡化網絡管理，包括事件監控和事件響應
　　· 面對永無止境的安全審計和來自業務夥伴及客户的問卷調查，網絡分段可以最大限度地減小這方面的工作 ^[1] 

一般將ip地址按節點計算機所在網絡的規模的大小分為A類、B類、C類、D類和E類五類。

A類表示的地址範圍是1.0.0.0到127.255.255.255

B類表示的地址範圍是128.0.0.0到191.255.255.255

C類表示的地址範圍是192.0.0.0到223.255.255.255

D類表示的地址範圍是224.0.0.0到239.255.255.255

E類表示的地址範圍是240.0.0.0到255.255.255.255

A，B，C分別分配給特別大的網絡，中型網絡和小型網絡使用，比如局域網就是用C類地址。D類地址是組播地址，E類保留做研究用，以後的IPv6地址就是在此基礎上擴展的。

在以太網10 BASE-5中物理層標準規定了一個局域網最多網段數為5。每個網段的最大站點數是100，網段的最大長度為500m。因此，對於使用局域網的一個部門來説，把一個邏輯上單一的LAN分成若干分離的LAN來調節負載有時是必要的。另外，有時兩台機器的距離太遠，即使敷設電纜不成問題，但由於網上信息延遲太長，會影響網絡的正常運行。解決的辦法也是把一個大的LAN劃分成若干個區段(更小的局域網)。

從網絡的安全可靠性出發，將大的網絡劃分成較小的網絡後，有利於隔離故障，也有利於保護大網內各個區域的安全保密性。 ^[2]