nexus/wiki/concepts/Network-Segmentation.md

---
title: "Network Segmentation"
type: concept
tags: [Network, Security, AWS, Firewall, Zero-Trust]
sources: []
last_updated: 2026-05-06
---

## Definition
网络分段（Network Segmentation）是通过防火墙、安全组和网络隔离策略将不同安全级别的网络区域分隔开的架构设计原则。核心目标是实施最小权限原则，阻断不同安全域之间的未授权流量。

## Application in AWS Landing Zones
在 Micro Focus AWS Landing Zone 环境中，网络分段策略用于：
- 阻断内部网络对 AWS SaaS 工作负载的直接连通性
- 通过 Checkpoint 防火墙启用 SPI（Stateful Packet Inspection）特性，以 default-deny 模式限制跨区域流量
- 入站流量通过 Network 账户的 Checkpoint 重新路由集中管理

## Related Concepts
- [[Landing-Zone-Architecture]]：网络分段是 Landing Zone 安全架构的核心组成部分

## Related Sources
- [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]]
- [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]]
- [[ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]]