现在企业使用的很多面向互联网的网络基础设施设备、服务器、web应用和云服务都必须在全球范围内提供可用性，企业可能会试图拒绝坏流量进入网络，但这正变得越来越难以实现。

　　高管不希望其计算体验受到阻碍。

　　然而，网络分段并不总是解决问题的办法。并且，特定业务流程、合作伙伴网络连接或缺乏网络管理资源(金钱或技能)可能是更为优先的考虑因素。在追求安全与便利性的平衡中，后者往往更加重要。不过，这些并不意味着你不应该部署网络分段。

　　让笔者深感有趣的是，很多企业(大型企业在内)部署了各种水平的网络分段，而没有完全了解其中的真正风险。要知道，你不能保护你不认识的东西。如果你没有清楚认识这是什么以及风险何在，你将无法部署长期可行的有效的网络分段。

　　当今的“全连接”网络无疑有利于安全攻击的执行，而我们可以使用经过验证可靠的安全原则来预防这些攻击。对于一切与安全有关的事物，并没有放之四海而皆准的解决办法;每个网络都是不同的，每个企业都有独特的需求，同时，每个部门的业务主管都有不同的信息风险容忍度。

　　那么，最适合你企业的是什么?这恐怕只有你自己知道。首先，防火墙规则、ACL和VLAN组合将能够明确谁和哪些系统需要访问你网络的特定区域。其次，强大的渗透测试和持续的安全评估将帮助企业明确需要哪些额外的安全措施。你可能会发现，你需要额外的IPS传感器、更强的文件访问控制，或者甚至更专注于DLP控制。

　　在企业选择了正确的工具和技术组合后，困难的工作开始了：真正开始执行“理想的”网络分段。当然，决定你是否需要部署网络分段的业务驱动因素也将发挥一定作用。这可能包括已知风险、合规性(例如PCI DSS)或者合同要求，或者需要这个功能的特定业务流程。虽然企业可能永远也达不到“理想状态”，但重要的是你尽了一切努力来最大限度地减少网络攻击区域。

　　面对企业现在要应对的网络复杂性，尽量减小安全事故的影响与防止安全事故同样重要。归根结底，政策和文化将决定企业应该采用怎样的网络分段，你的企业只要接受就行了。