虛擬安全域

傳統網絡中，為了安全管理需要，往往進行安全域劃分。

安全域劃分原則為：

將所有相同安全等級、具有相同安全需求的計算機劃入同一網段內，在網段的邊界處進行訪問控制。

一般實現方法是採用防火牆部署在邊界處來實現，通過防火牆策略控制允許哪些IP訪問此域、不允許哪些訪問此域；允許此域訪問哪些IP/網段、不允許訪問哪些IP/網段。

一般將應用、服務器、數據庫等歸入最高安全域，辦公網歸為中級安全域，連接外網的部分歸為低級安全域。在不同域之間設置策略進行控制。

總的原則一般為：

數據允許從低安全等級的域流入高安全等級域，反之，則受嚴格控制。從而保證用户網絡內的數據安全。

而實際用户環境中，很多應該劃入同一安全域的計算機分佈在分散的各個子網中，無法或暫時無法將它們歸入同一網段，設置邊界而進行控制。

為了貫徹安全域管理原則，可使用虛擬安全域進行管理。這時，這個組就相當於傳統的安全域，可對進出這個組的網絡訪問進行控制。控制原則同傳統安全域控制原則。

虛擬安全域的意義在於，可在拓撲結構複雜、無法進行網絡層安全域規劃的用户網絡實施安全域管理，簡明有效地控制數據安全。