导图社区网络和通信层安全架构设计

网络和通信层安全架构设计

本文详细介绍了网络和通信层安全架构设计的理论基础和原则。安全技术体系架构包括通用基础设施、安全防御基础设施、安全运维基础设施、安全工具和技术、安全组件与支持系统等。

编辑于2024-10-05 10:52:18

架构设计

宇尘

他的近期作品查看更多>>

TMO与PMO组织架构及职责
这是一篇关于TMO与PMO组织架构及职责的思维导图，模板详细拆解了 TMO（技术交付组织）与 PMO（项目管理办公室）两大核心模块：TMO 模块涵盖业务分析师、应用技术负责人、项目技术负责人、测试技术负责人等多个关键岗位，明确了各角色的执行层对应团队与核心职责，如业务需求转化、技术方案设计、跨模块资源协调、用户验收测试管控等；PMO 模块则包含多供应商管理、变更管理、项目计划与管理、成本管控、配置管理等全流程职能，清晰呈现各岗位的汇报线、工作边界与协作逻辑，解决项目管理中角色模糊、职责交叉、流程混乱等痛点。无论是 IT 项目交付团队搭建、企业项目管理体系梳理，还是个人项目管理知识学习、团队培训材料制作，该模板都能提供标准化参考框架。项目经理可借助它明确团队分工、优化协作流程，技术负责人能快速对齐技术交付各环节的角色职责，企业管理者可用于搭建规范的项目管理组织架构，项目团队成员也能通过模板快速了解岗位定位与工作要求，实现高效协同。模板支持按需修改与拓展，可直接套用或根据企业实际需求调整岗位、职责内容，大幅节省架构梳理与文档制作时间，提升项目管理效率。
华为项目交付组织架构
这是一篇关于华为项目交付组织架构的思维导图，涵盖项目铁三角核心角色、决策层与执行层架构、项目管理办公室（PMO）及技术交付组织（TMO）四大核心模块，清晰梳理了各岗位职能、汇报关系、关键逻辑与协作流程，是拆解华为项目管理体系、搭建标准化项目交付团队、明确项目权责分工的实用参考工具。模板深度融合华为项目管理的核心理念，详细拆解了客户负责人、方案负责人、交付负责人、PMO Leader、TMO Leader 等关键角色的职责边界，以及多供应商管理、变更管控、成本控制、技术执行等专项职能的分工逻辑，帮助用户快速理解大型复杂项目中 “决策 - 管理 - 执行” 三层架构的协作模式，解决项目权责不清、流程混乱、协同低效等常见问题。无论是企业搭建项目交付团队、项目管理者梳理组织架构，还是学习华为项目管理方法论，都能通过该模板快速掌握项目交付组织的搭建逻辑，高效落地项目管理流程。借助万兴脑图软件绘制，助力快速搭建标准化项目交付管理体系。
DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图，主要内容包括：DPIA模版，DPIA概述和范围，如何执行DPIA，可接受的DPIA标准，DPIA解决什么问题，DPIA执行标准。

网络和通信层安全架构设计

社区模板帮助中心，点此进入>>

宇尘

他的近期作品查看更多>>

相似推荐
大纲

互联网9大思维
- 40.4k
- 977
- 2.5k
- 401
- 0
MindMaster
电费水费思维导图
- 7.4k
- 3
- 19
- 3
- 0
蔡正兆(Joe Choi)
D服务费结算
- 3.2k
- 0
- 13
- 2
- 0
蔡正兆(Joe Choi)
组织架构-单商户商城webAPP 思维导图。
- 19.0k
- 3
- 186
- 9
- 1
Kacyun
域控上线
- 4.7k
- 171
- 11
- 4
- 0
jackrao
python思维导图
- 10.1k
- 559
- 242
- 7
- 0
(*^▽^*)
css
- 4.2k
- 1
- 43
- 3
- 0
A张舫
CSS
- 6.7k
- 272
- 189
- 33
- 0
journey
材料的力学性能
- 2.7k
- 48
- 30
- 4
- 0
公瑾.
计算机操作系统思维导图
- 8.5k
- 356
- 209
- 16
- 0
journey

网络和通信层安全架构

架构示意图

■ 网络安全域。

■ 网络接入身份认证。

■ 网络接入授权。

■ 网络层访问控制。

■ 网络层流量审计。

■ 网络层资产保护：DDoS缓解。

简介

安全技术体系架构包括通用基础设施、安全防御基础设施、安全运维基础设施、安全工具和技术、安全组件与支持系统等。

聚焦到网络和通信层，通用基础设施包括：

■ 网络安全域（或网络分区）。

■ 防火墙及配套的防火墙策略管理系统。

■ 四层网关（可选），用于受控的任意协议的NAT转发等用途。

防御基础设施主要包括：

■ 抗DDoS系统，用于缓解DDoS攻击。

■ 网络准入控制（NAC），确保只有符合安全政策的设备在员工身份认证通过的情况下才能接入网络。

其他方面还包括：

■ 运维通道。

■ 网络流量审计。

网络安全域

企业的网络架构涉及各个安全域以及安全域之间的访问控制。

安全域是具有相同安全边界的网络分区，是由路由、交换机ACL（访问控制列表）、防火墙等封闭起来的一个逻辑上的区域，可以跨地域存在，这个区域内所有主机具有相同的安全等级，内部网络自由可达。

各安全域之间的访问控制，即网络访问控制策略，由于路由、交换机ACL不会经常变更，所以网络访问控制策略管理的日常工作重点是防火墙策略管理。

让我们先来看看安全域的数量与防火墙的关系。假设只有两个安全域（A和B），访问规则就比较简单，只需要2套规则集即可：从A到B，以及从B到A，如图11-2所示。如果有三个安全域（A/B/C），访问规则就变得复杂一些了，有A到B、A到C、B到A、B到C、C到A、C到B，需要6套规则集（3×(3-1)），如图11-3所示。

推荐的网络安全域

下图的接入方案是一种安全性较高的方案，可供有评估认证需求的互联网企业参考。

或者

从有边界网络到无边界网络

过去安全体系以网络为中心，是有边界的网络，人们认为外网是不可信的，而内网是可以信任的，DMZ也是这种理念下的产物。

DMZ（Demilitarized Zone，非军事区），是传统IT网络中安全等级介于内部网络与互联网之间的一个安全域，用于部署直接对外提供服务的服务器，如网站的前端、反向代理、邮件服务器等。

在互联网行业兴起后，DMZ这种模式逐渐被无防火墙的IDC（Internet Data Center，互联网数据中心，如图所示）模式所虚拟化，IDC模式的外网网卡模式，可视为虚拟化的DMZ。多个安全域的分层网络还是有必要继续存在的，只是我们在做安全加固的时候，不能假设“内网是安全的”，而要假设“黑客已经进入了内网”。为了保护最为敏感的数据，我们可以将最敏感数据部分单独隔离起来（“生产网络敏感区”），当业务服务器访问敏感数据的时候，需要经过内网防火墙，这种设计是PCI-DSS认可的设计模式。如果涉及PCI-DSS认证，需要具备防火墙机制以保护敏感的数据。我们可以在生产网络（敏感区）将需要的数据封装为数据服务，然后通过敏感业务接入网关对生产网络（普通区）发布，相对于生产网络的接入网关，只是多一道防火墙而已。

随着云计算的大量普及，也有企业将自己的业务大量上云，这就带来了一个问题，跟原有传统生产网络如何互通的问题。直接打通路由可能面临各种挑战，而使用外部接入网关，则能够较好地解决互联互通问题，在接入网关的配置上，可以做到点对点开放。

运维架构

一个典型的场景是员工先登录跳板机，再跳到目标服务器执行运维操作，共需要多少个安全域呢？第一个选择如图所示，单独为跳板机建立一个安全域。

第二个选择如图所示，不为跳板机建立单独的安全域。

第一种方案在跳板机到业务服务器之间有防火墙，可以执行IP和端口级的访问控制，安全性更高，但也带来了额外的运维和管理成本。

在我们看来，这两种方案的安全性其实是相差不大的，而且作为跳板机都能够登录到目标服务器，限制其他非登录类的端口访问，其意义也不是很大。

因此，在这两个方案中，笔者推荐使用第二个方案，它不仅仅是减少一个安全域，减少了防火墙策略的数量，而且扩展性也更好。

网络接入身份认证

企业的网络，也会涉及身份认证，而且更进一步，包括对人和设备的认证：

■ 针对员工、访客、合作伙伴的身份认证，这是针对人的身份认证。

■ 针对接入设备的身份认证，识别出设备属于哪一种，如公司设备（办公电脑/服务器）、经过授权的个人设备（手机/平板电脑/个人笔记本电脑）、未经授权的设备等。

■ 创业企业可以先跳过这一部分，等条件成熟时再来考虑。

■ 中等规模的企业，无线网络接入部分，对人的身份认证是必备的，需识别出员工和访客。

■ 大型企业，无论是有线接入还是无线接入，除了具备对人的身份认证，还具备办公网的设备认证机制，检查接入设备是公司资产还是个人设备。

■ 领先企业，除了具备上述对人的认证和对办公设备的认证机制外，对服务器也实施了设备身份认证。

在设备认证方面，会配合NAC（Network Admission Control，网络准入控制）机制共同使用。

对人（员工、访客、合作伙伴）的身份认证，如果是员工且采用有线接入，可直接借助Windows操作系统的域认证，或者通过安全客户端配合内部统一的SSO系统进行认证。无线接入可采用WebAuth认证方式（在访问网站时引导到认证网页），员工使用SSO进行身份认证，访问使用临时随机口令等方式。

对设备的认证，如果目标是仅校验是否为公司已授权的设备，最简单的实现方式是在资产库登记设备ID、MAC地址，只要是已登记的设备且MAC一致，即认证通过。在具有更加严格要求的网络环境，可以通过颁发设备数字证书，来执行设备认证。

网络接入授权

有了对人和设备的不同区分，我们就可以制定精细化的授权策略，如只允许员工使用企业内部的设备访问内部网络。

有了这个规则，我们就可以在接入设备上配合NAC（将在下面介绍）执行访问控制了。

网络层访问控制

NAC原理

网络准入控制，如图所示，是在网络层控制用户和设备接入的手段，确保只有符合企业要求的人员、设备才能访问对应的网络资源，防止不可信或不安全的设备特别是感染病毒木马的计算机接入企业网络后，对网络产生风险。

实施NAC的技术主要有：

■ 802.1X（需要交换机设备支持，是一种网络接入控制协议，可对所接入的用户设备进行认证和控制）。

■ DHCP（先分配一个临时的IP，只能访问到修复区，通过策略检查后，再分配正式的IP）。

网络准入控制方案是一个综合性的解决方案，以访问控制为主，并覆盖安全架构中的各个要素。

办公终端管理

办公终端从安全上可以分为如下几类

服务器NAC

实施NAC的成本比较高，目前只有个别领先的公司实施了NAC（采用了基于TPM和数字证书的认证与信任传递机制），大多数公司尚未实施或没有计划实施。很多大型企业也只是实施了办公网的NAC，而生产环境的服务器还没有实施NAC的计划。

生产网络主动连接外网的访问控制

对于生产环境的服务器，经常有下载第三方软件或跟外部第三方业务集成的需求，应该如何控制它们访问互联网的行为呢？

下载开源软件一般可通过自建软件源的方式解决，但跟外部第三方业务集成就不得不访问外网了。

策略一般有两种：

■ 第一种策略是允许服务器自由访问互联网，不加管控，效率较高，但无法防止敏感数据外传。如果黑客已进入内网，则他可以自由外传敏感数据；此外，员工也可能私建VPN网络，将风险引入生产网络。

■ 第二种策略是不允许服务器自由访问互联网，需经过指定的代理服务器和相应的配置，这样对业务的效率会有少量影响，但可以很好地控制数据外传和员工行为。

如果选择第二种方案，就需要配套建设相应的基础设施，包括：

■ 生产网络出向访问的专用代理，需要支持多种访问策略，如限定一个目标网站（点对点）、多个目标网站、任意目标网站等。

■ 内部软件源（毕竟将业务访问外网的通道堵住了，对于安装软件的需求，需要有个出路）。

这里不是说一定要使用哪一种策略才是正确的，而是要知道不同的策略，可能带来的影响。具体在你的业务场景中，选用哪一种策略，跟网络基础设施现状、企业文化风格、历史策略等都有关系，可根据情况评估选用，笔者比较推荐第二种，因为它符合安全的白名单原则。

网络防火墙的管理

虽然已经有了不少下一代防火墙的产品，但目前大型企业主要使用的，还是只有最基本的功能，即基于五元组的访问控制。这里简单介绍一下最基本的五元组概念防火墙五元组： ■ 源IP地址，用于限制访问来源。 ■ 源端口，一般使用any，因为主动发起方所使用的端口是随机的；但对于那些采用无状态防火墙管理的企业来说，就需要单独为服务器的响应创建一条策略，比如Web服务器响应用户请求的源端口是80或443。 ■ 目的IP地址，用于限定目标范围。 ■ 目的端口，用于限定目标服务。 ■ 传输层协议，用于限制传输协议类型（TCP/UDP）。一条防火墙策略，包含了五元组和访问控制动作（放行、拒绝）。

在实际的防火墙日常运营中，可能会面临诸多问题：

■ 策略越来越臃肿，逐步逼近或已达到防火墙设备的策略上限。

■ 随着业务的变迁，历史策略中的一部分早已失效，成为了网络访问控制的漏洞。

■ 随着业务的扩张，安全域越来越多，策略越来越复杂。

为了解决这些问题，我们也开始反思，安全域与防火墙是否用对了？我们用自己的经验和教训，总结了几条建议：

■ 安全域不能过多，只要满足合规要求及敏感业务的保密需要即可。

■ 跟基础设施有关的纳入基线策略，建设时一次性开通，不要让业务来申请，由安全团队和网络维护团队定期审视。

■ 业务申请的防火墙，需要具备流程上的清理机制，具备责任人和有效期机制，并在流程上启用到期前提醒功能，复核该策略的必要性；服务器之间的策略由于都是固定的IP地址，有效期可以长一些，建议一年；由于办公网大多采用DHCP机制，因此办公网到服务器的策略，只要访问源属于动态IP，就需要压缩有效期（一个月以内）。

■ 临时策略，一般用于满足应急、测评的需要，按需短期开放，到期撤销。

运维通道的访问控制

企业的网络安全域，一般都会将办公网络和生产网络分开，如果要登录到生产网络的服务器执行运维，则需要通过跳板机或运维平台来中转。这样就可以在内部防火墙设备上，拒绝所有办公网络对生产网络的直接运维通道，而仅开通办公网络到跳板机或运维平台的策略。

网络层流量审计

在HTTPS尚未普及的年代，可以直接通过链路层、网络层提取，如分光器、NIDS（Network Intrusion Detection System，网络入侵检测系统）等各种网络设备等。

但随着HTTPS的普及，HTTPS的流量已无法直接从网络层获取，上述来源几近失效，需要寻找新的流量来源。基于明文传输的网络层的流量审计，其使用场景已非常有限，因此这里不再展开。

这部分流量逐渐转移到应用层，例如通过应用层的统一接入网关或WAF获取流量的镜像副本。最典型的流量来源，应当首选HTTPS统一接入应用网关，接入网关可以作为HTTPS的中止点（TLS End），流量在这里解密，因此可作为流量分析的输入源。可用于流量实时分析的开源工具有Storm、Spark Streaming、Flink等，具体方法属于大数据的研究领域，此处不再展开。有了流量数据，就可以对指定时间窗之内的流量进行聚合、统计、分析等操作，就如同操作普通的数据库查询一样。

网络层资产保护：DDoS缓解

DDoS的攻击类型：

■ 网络带宽资源耗尽型（利用第三方服务的反射放大攻击、利用协议缺陷的异常包等），相当于通往目的地的通路被堵住，就算目标服务还能正常提供服务，但正常的用户访问不到。在这种情况下，正常用户的访问请求根本就到不了服务器。

■ 主机计算资源耗尽型（典型的是CC攻击），是指流量已到达目标服务器，并且把目标服务器的资源（CPU、内存等）给占满，使得服务器无法处理正常用户的访问请求。

DDoS缓解措施

一方面，可以提升产品自身能力，主要的方法包括：

■ 优化代码，降低系统资源占用。

■ 启用缓存，降低对数据库资源的频繁读取。

另一方面，可以对服务降级，暂停高消耗型的功能，提供有损的服务。

经此优化，可提升对小流量DDoS的防护能力，但这往往还不够。继续缓解的思路无非就是针对攻击方利用的弱点：

■ 让服务器前的带宽入口大于攻击流量带宽，如扩充带宽或购买高防IP，要想防止10Gbps的DDoS攻击，首先你的网络入口带宽就得大于10Gbps。

■ 提升自身性能的同时，启用负载均衡或CDN加以分流，将请求分散到多个入口，假设分流节点有100个，则每个节点承受的流量就变为原来的1/100（这些流量中的绝大部分是不会发送到后端的真实业务的）。

专业抗DDoS方案

专业的抗DDoS解决方案，是云计算企业、CDN/安全防护厂商、运营商等大型企业才会考虑的事情。原本他们的业务自身就需要极大的带宽，拥有现成的富裕的带宽资源，也拥有众多的CDN节点，甚至总的入口带宽超过Tbps，因此通过CDN分流后，可防御Tbps量级的DDoS攻击。而他们的客户也有抗DDoS的需求，利用现有的资源，特别是天然的带宽优势，在不怎么增加投入的情况下，即可方便地开展抗DDoS业务。