第 4 章:网络安全 —— 给网络装上"防盗门"和"监控"¶
场景: 你家小区有门禁(防火墙)、监控摄像头(IDS)、报警器(IPS),还有一条通往公司的加密地下通道(VPN)。网络安全就是给企业网络装上同样的防护体系。
4.1 防火墙¶
核心比喻:防火墙就是小区门禁 + 保安
保安根据规则决定谁可以进出:
- "外卖员可以进,但只能送到大堂"(允许特定 IP/端口)
- "非小区车辆禁止入内"(拒绝未授权访问)
- "访客需登记身份证"(记录访问日志)
防火墙类型对比¶
| 类型 | 工作层次 | 检查内容 | 性能 | 安全性 |
|---|---|---|---|---|
| 包过滤防火墙 | 网络层/传输层 | IP 地址、端口、协议 | 高 | 低 |
| 状态检测防火墙 | 网络层~应用层 | 连接状态 + 包过滤 | 中 | 中 |
| 应用代理防火墙 | 应用层 | 应用层内容深度检测 | 低 | 高 |
| 下一代防火墙(NGFW) | 全层 | IPS + 应用识别 + 威胁情报 | 中 | 高 |
防火墙规则示例¶
规则 1: 允许 内网(192.168.1.0/24) → 外网 80端口(TCP) # 允许上网
规则 2: 允许 外网 → DMZ Web服务器(10.0.0.10) 80/443 # 允许访问网站
规则 3: 拒绝 外网 → 内网 所有 # 禁止外网访问内网
规则 4: 允许 内网 → DMZ 22端口(TCP) # 允许管理员SSH
默认规则: 拒绝 所有 # 默认拒绝
防火墙部署原则
- 默认拒绝 :没有明确允许的流量一律拒绝
- 最小权限 :只开放业务必需的端口
- 分层部署 :边界防火墙 + 内部防火墙
4.2 入侵检测与防御系统(IDS/IPS)¶
| 对比维度 | IDS(入侵检测) | IPS(入侵防御) |
|---|---|---|
| 工作方式 | 旁路监听(不影响流量) | 串联在线(流量经过) |
| 响应方式 | 告警通知管理员 | 自动阻断攻击 |
| 比喻 | 监控摄像头(只记录不阻止) | 自动门禁(检测到可疑立即锁门) |
| 部署位置 | 旁路镜像端口 | 串联在网络路径中 |
检测方法¶
| 方法 | 原理 | 优点 | 缺点 |
|---|---|---|---|
| 特征检测 | 匹配已知攻击特征库 | 准确率高、误报少 | 无法检测未知攻击 |
| 异常检测 | 建立正常行为基线,检测偏离 | 可检测未知攻击 | 误报率较高 |
| 协议分析 | 检查协议是否符合规范 | 检测协议异常 | 实现复杂 |
4.3 VPN —— 虚拟专用网络¶
核心比喻:VPN 就是在公共马路上挖一条加密隧道
你在公共马路上开车,任何人都能看到你的车。但如果你挖了一条地下隧道——在隧道里开车,外面的人看不到你,也不知道你去哪里。
VPN 在公共互联网上建立加密隧道,让你的数据安全传输。
常见 VPN 协议¶
| 协议 | 层次 | 加密 | 特点 |
|---|---|---|---|
| IPsec | 网络层 | 强 | 企业站点互联标准,支持隧道模式和传输模式 |
| SSL/TLS VPN | 传输层 | 强 | 无需客户端,浏览器即可使用 |
| OpenVPN | 传输层 | 强 | 开源、灵活、跨平台 |
| WireGuard | 网络层 | 强 | 新一代,代码精简(约 4000 行),性能优异 |
| PPTP | 数据链路层 | 弱 | 老旧,安全性差,不推荐 |
| L2TP/IPsec | 数据链路层 | 中 | L2TP 提供隧道,IPsec 提供加密 |
IPsec 的两种模式¶
| 模式 | 加密范围 | 适用场景 |
|---|---|---|
| 传输模式 | 仅加密 IP 数据载荷 | 端到端通信(主机到主机) |
| 隧道模式 | 加密整个原始 IP 包 | 网关到网关(站点互联) |
4.4 DDoS 攻击与防御¶
常见 DDoS 攻击类型¶
| 攻击类型 | 目标层次 | 原理 | 典型攻击 |
|---|---|---|---|
| SYN Flood | 传输层 | 发送大量 SYN 包但不完成握手 | 耗尽服务器连接表 |
| UDP Flood | 传输层 | 发送大量 UDP 包 | 耗尽带宽 |
| HTTP Flood | 应用层 | 发送大量 HTTP 请求 | 耗尽 Web 服务器资源 |
| DNS Amplification | 应用层 | 伪造源 IP 发送小请求,DNS 返回大响应 | 放大攻击(可达 50 倍) |
| NTP Amplification | 应用层 | 利用 NTP 服务器的 monlist 功能 | 放大攻击(可达 500 倍) |
防御策略¶
| 策略 | 说明 |
|---|---|
| 流量清洗 | 将流量引入清洗中心,过滤攻击流量后回注正常流量 |
| CDN 分散 | 利用 CDN 节点分散攻击流量 |
| 限流/限速 | 对单一源 IP 限制请求速率 |
| SYN Cookie | 不立即分配连接资源,用 Cookie 验证客户端真实性 |
| Anycast | 将流量分散到多个地理位置的节点 |
4.5 常见考试题型¶
例题 1: 以下关于防火墙的说法,正确的是( )。
A. 防火墙可以防止所有网络攻击 B. 包过滤防火墙检查应用层内容 C. 防火墙通常部署在内外网边界 D. 防火墙不需要配置规则
查看答案
答案:C
防火墙通常部署在内外网边界,作为第一道防线。但它不能防止所有攻击(如内部威胁、加密流量中的攻击)。包过滤防火墙只检查网络层/传输层信息,不检查应用层内容。
例题 2: IDS 和 IPS 的主要区别是( )。
A. IDS 能自动阻断攻击,IPS 只能告警 B. IDS 是旁路部署只告警,IPS 是在线部署能阻断 C. IDS 和 IPS 功能完全相同 D. IDS 比 IPS 更安全
查看答案
答案:B
IDS(入侵检测系统)旁路部署,检测到攻击后告警但不阻断。IPS(入侵防御系统)在线部署,检测到攻击后自动阻断。IPS 可以看作 IDS + 自动阻断功能。
例题 3: IPsec 的隧道模式加密的是( )。
A. 仅 IP 数据载荷 B. 整个原始 IP 数据包 C. 仅 TCP 头部 D. 仅应用层数据
查看答案
答案:B
IPsec 隧道模式将整个原始 IP 数据包(包括 IP 头部)加密后封装在新的 IP 包中。传输模式仅加密 IP 数据载荷,保留原始 IP 头部。
要点总结¶
- 防火墙:包过滤→状态检测→应用代理→NGFW,安全性递增
- IDS 旁路检测告警,IPS 在线检测阻断
- VPN 在公共网络上建立加密隧道,IPsec/WireGuard/SSL VPN 是主流
- DDoS 攻击分为网络层(SYN/UDP Flood)和应用层(HTTP Flood)
- 防御策略:流量清洗、CDN、限流、SYN Cookie、Anycast
课后练习¶
-
规则设计 :为某公司设计防火墙规则,要求:允许内网上网、允许外网访问公司 Web 服务器、禁止其他所有流量。
-
协议对比 :从工作层次、加密强度、适用场景三个维度对比 IPsec 和 SSL VPN。
-
真题演练 :SYN Flood 攻击利用的是 TCP 协议( )阶段的缺陷。
下一章预告: 网络安全防护做好了,但操作系统本身安全吗?病毒、木马、勒索软件如何入侵系统?第 5 章见。