傳統網路中,為了安全管理需要,往往進行安全域劃分。
安全域劃分原則為:
將所有相同安全等級、具有相同安全需求的計算機劃入同一網段內,在網段的邊界處進行訪問控制。
一般實現方法是採用防火牆部署在邊界處來實現,通過防火牆策略控制允許哪些IP訪問此域、不允許哪些訪問此域;允許此域訪問哪些IP/網段、不允許訪問哪些IP/網段。
一般將套用、伺服器、資料庫等歸入最高安全域,辦公網歸為中級安全域,連線外網的部分歸為低級安全域。在不同域之間設定策略進行控制。
總的原則一般為:
數據允許從低安全等級的域流入高安全等級域,反之,則受嚴格控制。從而保證用戶網路內的數據安全。
而實際用戶環境中,很多應該劃入同一安全域的計算機分布在分散的各個子網中,無法或暫時無法將它們歸入同一網段,設定邊界而進行控制。
為了貫徹安全域管理原則,可使用虛擬安全域進行管理。虛擬安全域是指,把相同安全等級、相同安全需求的計算機,歸入一個邏輯組內,對這個組配置訪問控制策略。這時,這個組就相當於傳統的安全域,可對進出這個組的網路訪問進行控制。控制原則同傳統安全域控制原則。
虛擬安全域的意義在於,可在拓撲結構複雜、無法進行網路層安全域規劃的用戶網路實施安全域管理,簡明有效地控制數據安全。