在弓箭手村的資安修練第 22 天，學到了一項關鍵技能：如何把村莊分區管理，讓敵人無法輕易橫行霸道！
在資安的世界裡，這叫做「網路分段」，就像把村莊劃分成不同的區域，有的開放、有的封閉，有的甚至只有特定人能進出。這樣一來，就算敵人突破一道防線，也無法一路橫掃到底。
從讓外部訪客只能停留的非軍事區（DMZ），到用邏輯方式分組的VLAN，再到針對每一台設備都能精細控管的微分段（Microsegmentation），每一種技術都是為了讓網路更有秩序、更難被攻破。
今天的任務，就是學會這些分段技巧，打造出一個就算敵人入侵，也只能被困在角落的資安堡壘！

網路分段 (Network Segmentaion)

• 概念大概像是你把一個很大的空間分成好幾個小房間，透過實體或邏輯的方式，把不同用途或風險等級的設備分開，讓攻擊者就算入侵了某個區域，也不容易擴散到其他區域。
  • 可以完全隔離某些區域，讓他們無法與外部直接通訊，提升整體的安全性。

非軍事區 (Demilitarized Zone, DMZ)

• DMZ是一個半空開的網路區域，專門用來放需要讓外部使用者存取的服務。
• 它與內部網路是隔離的，萬一DMZ被攻破，攻擊者不容易直接進入組織內部系統。
  • 例如：Web伺服器、電子郵件伺服器。

虛擬區域網路 (Virtual Local Area Network, VLAN)

• VLAN是一種邏輯上的網路分段方式，它透過交換器設定，把一台實體設備上的不同連接埠分成不同的網路群組。
  • 可以讓不同部門的設備分開管理。
  • 有效控制廣播流量，提升效率與安全性。

微分段 (Microsegementation)

• 微分段網路是分段網路的進階版，做到更細緻的控制。
  • 不只分區，而是針對每一台設備、每一個應用程式。
  • 常見於資料中心或雲端環境，搭配虛擬化技術。