För att hindra eller försvåra för en angripare att få tillgång till it-miljön måste nätverket skyddas mot både interna och externa hot. Skyddet ska också reducera skadan om angriparen ändå har kommit över behörigheter och därmed också resurser i nätverket.
En angripare kartlägger vilka möjligheter det finns att ta sig vidare in i it-miljön med utgångspunkt utifrån den plats i nätverket där angriparen kunnat ta sig in. Målet är ofta att nå andra informationssystem där angriparen kan skaffa sig högre behörigheter och bättre åtkomst till känsligare information eller informationssystem.
I ett nätverk sker majoriteten av kommunikationen mellan klient och server. Vanligtvis delas servrar och klienter upp genom att sätta dem i olika nätverkssegment och filtrera trafiken med hjälp av centraliserade nätverksbrandväggar. Men ofta sätts alla klienter i ett och samma nätverkssegment och nätverkstrafik tillåts mellan alla klienter. Detta underlättar det för en angripare att både sprida skadlig kod och förflytta sig i it-miljön.
Ett nätverk är en kritisk del i it-miljön. Ju fler tjänster som nyttjar samma nätverk desto lättare för en angripare att förflytta sig i it-miljön. Det blir också svårare att begränsa och avgränsa andra problem. Stödresurser i nätverket (såsom katalogtjänster, DHCP, DNS och systemadministration av nätverksenheter) är kritiska för it-miljön och behöver särskilt skyddas. Slutar någon del av nätverket eller dess stödresurser att fungera är risken stor för allvarliga störningar i it-miljön.
Organisationer är ofta bra på att filtrera ingående trafik genom den yttre nätverksgränsen, men ofta sämre att filtrera utgående trafik. Om en angripare har fått åtkomst till någon del av it-miljön brukar de förändra interna informationssystem så de t.ex. kan användas för att skicka spam eller skapa nätverkstrafik ut från nätverket till en kontrollserver (eng. command-and-control-server, C2-server). Finns ingen filtrering eller övervakning av utgående trafik kommer denna kommunikation inte upptäckas och angriparen kan undgå upptäckt medan information lämnar organisationen.
Skydda it-miljön genom att upprätta olika nätverkssegment med fysisk och logisk separation och skapa kontrollerade trafikflöden mellan segmenten med hjälp av brandväggsfunktioner som skyddar mot att oönskad trafik kan flöda fritt i nätverket. Med fysisk separation avses att ett nätverk inte har några fysiska sammankopplingar med ett annat nätverk. Logisk separation är motsvarande uppdelning genom t.ex. VLAN på datalänk- eller nätverkslagret. Nätverket bör segmenteras utifrån informationssystemens funktion och värdet på informa- tionen som hanteras i ingående informationssystem.
Identifiera och separera informationssystem som inte behöver kommunicera med varandra, t.ex. att klient-till-klientkommunikation förhindras så långt det är möjligt. Uppnå detta genom funktioner i nätverksenheterna (brandväggar, switchar, routrar) och lokala brandväggsregler på klienterna.
Viss trafik kan behöva flöda mellan de olika nätverkssegmenten, men denna trafik bör vara filtrerad, det vill säga kraftfullt begränsad till trafik som behövs för att få den funktionalitet som organisationen behöver. Ingen annan trafik bör vara tillåten. Begränsningen kan bestå i att filtrera på IP-adresser, TCP/UDP-portar, typ av trafik och riktning. Övervaka den filtrerade trafiken.
Systemadministration bör, om det är möjligt, ske från dedikerade systemadministrationsklienter placerade på ett särskilt väl skyddat nätverkssegment. Tillåt endast dessa systemadministrationsklienter att nå systemadministrativa gränssnitt.
Skilj de it-miljöer som är avsedda för utveckling eller test från den it-miljö som är avsedd för organisationens information som används för produktion.