CISSP 域4知识点 网络安全架构安全

CISSP 域4「网络架构安全」 Domain 4 · Communication and Network SecurityOSG第十版 第10章第11章 · 占Domain 413%35%以上权重考前必看红线规则——这5条破防了直接扣分① 网络安全架构必须默认拒绝、最小权限、纵深防御三原则无例外② 官方已否定「内网可信、外网不可信」的传统假设——零信任永不信任始终验证③ 现代网络架构必须同时管控南北向流量内外网之间和东西向流量内网之间只防边界重大缺陷④ 网络安全架构最终责任由企业最高管理层承担不可通过外包或云服务转移⑤ 安全控制必须与OSI七层精准匹配攻击在哪层防护就落地在哪层防护错位错误答案一、核心术语速查10个高频词 南北向流量内网与外网之间的流量传统边界防护的核心对象 东西向流量内网不同服务器/工作负载之间的横向流量内网横向移动攻击的主战场 DMZ非军事区介于外网与内网之间的缓冲区域部署对外服务器隔离外网与内网 网络分段将网络划分为不同安全等级的子区域限制区域间访问缩小攻击面 微分段工作负载级/应用级/容器级的精细化逻辑隔离零信任架构管控东西向流量的核心技术 零信任架构ZTA永不信任始终验证每次访问都要完整认证授权不因位置而信任 SDN软件定义网络控制平面与数据平面分离集中化策略管控云原生网络基础 SASE广域网能力安全能力云原生融合在边缘节点交付替代传统总部集中式架构 NGFW下一代防火墙集成应用识别、用户身份识别、入侵防御、威胁情报当前企业边界防护主流 Purdue模型OT/工控系统标准网络分层模型划分6个层级严格隔离IT与OT网络二、OSI七层安全控制全映射必考精准记忆考试核心攻击在哪层防护就必须在哪层防护错位必错。 物理层核心威胁线路窃听、物理破坏、电磁泄露防护措施物理门禁、线路冗余、电磁屏蔽、光纤替代铜缆考点物理层安全是所有上层安全的基础先保物理再谈逻辑 数据链路层核心威胁ARP欺骗、MAC地址欺骗、VLAN跳跃防护措施802.1X身份认证、端口安全、MAC绑定、动态ARP检测、VLAN隔离考点ARP欺骗数据链路层攻击用动态ARP检测防护VLAN跳跃二层隔离失效 网络层核心威胁IP欺骗、路由劫持、DDoS、数据包嗅探防护措施防火墙、IPSec VPN、路由过滤、反地址欺骗、DDoS防护考点网络层是传统边界防护核心IPSec工作在此层IP欺骗≠ARP欺骗层级不同 传输层核心威胁端口扫描、SYN洪水、TCP会话劫持防护措施TLS/SSL加密、SYN Cookie、端口过滤、会话超时考点TLS/SSL是传输层核心加密HTTPS HTTP TLS应用层协议 传输层加密 会话层核心威胁会话固定攻击、会话劫持防护措施随机会话ID、会话加密、会话超时自动终止考点会话层核心是防会话劫持保证会话唯一性 表示层核心威胁加密降级攻击、字符编码注入、恶意代码伪装防护措施强制高强度加密算法、标准化数据编码、输入输出格式校验考点表示层是加解密、数据格式处理的核心层级⚫ 应用层核心威胁SQL注入、XSS、CSRF、API漏洞、DNS劫持、钓鱼攻击防护措施WAF、API网关、身份认证与授权、DNSSEC、邮件安全、应用白名单考点应用层攻击必须用WAF防护普通网络层防火墙无法防护——这条极高频速记SQL注入/XSS→应用层→WAFARP欺骗→数据链路层→动态ARP检测IP欺骗→网络层→防火墙反欺骗会话劫持→会话层→随机Session ID三、8项核心架构设计原则场景题判断依据① 纵深防御多层异构重叠防护单层失效不崩溃禁止仅靠单一防火墙实现全防护这是CISSP场景题最高频的错误答案② 默认拒绝默认拒绝所有流量仅开放明确授权的端口/IP/协议「默认允许只封禁违规」 错误架构③ 最小权限主体/系统/应用仅拥有完成工作必需的最小网络访问权限Web服务器只能访问数据库的指定业务端口不能访问内网其他区域④ 最小攻击面关闭不必要的服务、端口、协议禁用Telnet/FTP/HTTP等明文协议替换为SSH/SFTP/HTTPS从源头减少攻击入口⑤ 分段隔离按业务重要性、数据分级划分隔离区域防止单点突破后全网横移⑥ 流量可视化与可审计全网流量可监控/可记录/可审计日志不可篡改留存满足合规要求⑦ 安全与业务对齐架构支撑业务正常运行适配云迁移/远程办公/分布式变化禁止纯技术安全设计脱离业务⑧ 零信任核心原则每一次访问都要身份认证授权设备健康上下文风险评估无永久默认信任四、经典分层边界架构 → DMZ是必考核心外网-DMZ-内网三层隔离唯一标准答案外网不可信区互联网、公网、外部不可信网络仅能访问DMZ区域开放的指定服务与端口禁止直接访问内网DMZ隔离区部署对外服务器Web服务器、邮件服务器、反向代理、VPN网关✅ 外网只能访问DMZ指定业务端口✅DMZ服务器禁止主动向内网发起访问只能响应内网授权系统回调✅ 内网访问DMZ必须经过防火墙管控✅ DMZ服务器之间的访问也必须受控内网可信区办公区、生产业务区、核心数据区按安全等级进一步分段外网无法直接访问只能通过VPN、反向代理等受控渠道内网与DMZ完全隔离仅开放业务必需的最小访问权限比喻记忆外网银行门外的街道DMZ营业大厅只能在窗口办业务内网后台金库外部任何人不能进 DMZ高频考点DMZ服务器不能主动访问内网这条错了直接扣分三层架构必须通过防火墙完全隔离禁止DMZ与内网直连DMZ是缓冲区不是内网的一部分传统架构的致命弱点默认信任内网所有流量只防南北向边界完全忽略东西向流量管控。攻击者突破边界后在内网横冲直撞——这就是零信任诞生的核心原因。五、现代安全架构第十版重点必考 1. 零信任架构ZTA——永不信任始终验证基于NIST SP 800-207标准核心是打破「内网可信、外网不可信」的传统假设。7条官方核心原则必背① 所有数据源和计算服务都是资源无论部署在哪里② 所有通信必须是安全的内网与外网执行相同标准③ 对资源的授权是单次会话的动态决策综合身份权限设备上下文风险④ 遵循最小权限原则仅授予完成任务必需的最小资源访问权限⑤ 所有访问必须经过完整的身份认证与授权没有例外⑥ 企业必须持续监控所有资源和主体的完整性与安全状态⑦ 所有访问行为必须全程记录、可审计核心落地技术ZTNA零信任网络访问替代传统VPN先认证后连接用户只能看到授权的应用看不到整个网络微分段精细化管控东西向流量阻断横向移动持续信任评估实时监控设备健康和用户行为动态调整访问权限身份为核心访问控制的核心是身份而非IP地址或网络位置 高频考点易错点零信任不是取消网络边界而是将边界从物理边界缩小到每个资源/每个会话——极高频零信任访问控制核心是身份不是IP地址零信任同时管控南北向东西向是与传统架构的核心区别零信任的访问授权是单次会话、动态决策不是永久授权 2. 微分段架构——阻断横向移动的利器对比传统VLAN分段必考区分隔离粒度VLAN分段网段级粒度粗微分段工作负载/应用/容器级粒度极细技术层级VLAN分段数据链路层二层微分段网络层-应用层三到七层部署限制VLAN分段依赖物理网络设备仅本地网络微分段不依赖物理网络可跨本地多云虚拟化统一部署横向移动防护VLAN分段只能阻止跨VLAN的横向移动VLAN内仍可横移微分段阻止任意两个工作负载之间的未授权横向移动无死角策略管理VLAN分段基于IP/端口配置策略数量多、运维复杂微分段基于身份/业务属性配置策略与业务对齐运维简单 核心易错点微分段和VLAN不是替代关系而是互补关系——VLAN是粗分段微分段是精细化隔离☁️ 3. SDN软件定义网络核心控制平面路由决策/策略管理与数据平面数据包转发分离核心优势安全策略集中管理、全网流量可视化、可实现动态访问控制发现攻击自动阻断适配场景云原生、虚拟化、容器化是微分段和零信任在云场景的底层网络基础考点SDN核心是控制平面与数据平面分离集中化策略管控 4. SASE——云原生网络安全一体化核心广域网SD-WAN 安全能力防火墙/CASB/ZTNA/DLP完全融合云服务方式在边缘节点交付适用场景多分支企业、全球远程办公、多云部署解决的问题传统集中式架构「用户回源总部慢、安全管控难」考点SASE 网络安全云化边缘交付第十版新增考点六、核心安全组件精讲必考区分️ 防火墙系列对比包过滤防火墙工作层网络层核心能力基于源/目的IP、端口、协议过滤数据包局限无法识别应用内容无法防护应用层攻击状态检测防火墙工作层网络层传输层核心能力基于连接状态过滤只允许合法会话的数据包通过局限无法识别应用层内容和用户身份代理防火墙应用网关工作层应用层核心能力代理内外网通信隐藏内网结构深度检测应用层内容局限性能差适配协议有限NGFW下一代防火墙工作层网络层→应用层核心能力集成状态检测应用识别用户身份识别入侵防御威胁情报SSL解密考点当前企业边界防护的主流标准是CISSP最高频的防火墙考点WAFWeb应用防火墙工作层应用层核心能力专门防护Web应用攻击SQL注入/XSS/CSRF 核心考点Web应用层攻击必须用WAFNGFW无法替代WAF的专业Web防护能力 IDS vs IPS必考区分IDS入侵检测系统 旁路部署镜像流量 实时检测攻击行为触发告警不阻断攻击 设备故障不影响业务 适用核心业务系统、对可用性要求极高的场景IPS入侵防御系统 串联在线部署 实时检测攻击可主动阻断攻击流量 设备故障可能导致业务中断必须配置Bypass机制 适用互联网边界、需要主动阻断的场景核心检测方式特征匹配基于已知攻击特征准确率高无法检测零日攻击异常检测基于基线行为检测异常可检测未知攻击误报率较高行为分析AI/机器学习分析行为识别APT高级持续威胁 考点IDS仅检测告警不阻断IPS主动阻断是必考区分题 VPN系列对比必考IPSec VPN工作层网络层核心特点端到端加密整个IP数据包安全性极高核心适用站点到站点总部-分支内网互联两个核心协议AH认证头保障完整性防篡改ESP封装安全载荷保障机密性完整性ESP支持隧道模式加密整个IP包与传输模式只加密载荷SSL/TLS VPN工作层应用层核心特点无需安装专用客户端浏览器即可访问细粒度应用级访问控制核心适用员工远程/移动办公仅需访问特定应用ZTNA零信任网络访问工作层应用层核心特点先认证后连接用户只看到授权的应用隐藏网络结构最小化攻击面第十版重点推荐的远程访问方案替代传统VPN 易错点传统VPN默认授予整个内网访问权限违背零信任原则速记IPSec网络层站点互联AHESPSSL VPN应用层远程办公细粒度ZTNA应用层零信任先认证后连接七、专项场景安全架构第十版高频出题区☁️ 云网络安全——责任共担是核心基础责任边界IaaS客户负责VPC虚拟网络、防火墙、路由、访问控制、流量加密的全部安全责任PaaS客户负责应用访问控制、API安全、数据传输加密云厂商负责底层网络安全SaaS客户负责账号权限、身份认证、数据访问管控云厂商负责平台网络安全 核心考点无论哪种模式数据安全和身份与访问管理的最终责任永远在客户核心架构要求 不同业务/环境生产/测试/开发必须部署在独立VPC中完全隔离 VPC间、云与本地之间的通信必须通过加密隧道IPSec VPN/专线禁止明文 通过CASB管控用户对云服务的访问防范影子IT、数据泄露 全VPC流量必须开启云流量日志可监控可审计 OT/ICS工控系统网络安全——优先级与IT完全相反安全优先级可用性完整性保密性与IT系统完全相反所有安全控制不能影响工业生产的连续性和实时性Purdue模型标准分层必考层级0物理过程层传感器、执行器、工业设备完全隔离层级1直接控制层PLC、RTU仅与0、2层通信层级2监控层SCADA、HMI仅与1、3层通信层级3生产区MES通过DMZ与IT网络隔离禁止直连层级3.5ICS DMZ区IT与OT之间的受控数据交换区层级4企业IT区标准IT网络安全架构核心设计要求IT与OT网络必须严格隔离通过单向隔离网闸实现受控数据交换OT网络禁止直接连接互联网单向通信控制IT→OT的访问必须通过单向网闸禁止双向直接通信 最高频易错点OT系统安全优先级是可用性完整性保密性与IT相反 无线局域网安全加密标准必须使用WPA3禁用WEP和WPA已完全被破解核心要求无线局域网必须与企业核心内网严格隔离通过防火墙管控访问企业级部署采用802.1X 企业级认证禁止使用预共享密钥PSK访客无线网络必须完全独立独立VLAN 独立互联网出口禁止访问企业内网最小化企业外的信号覆盖防范wardriving攻击 易错点禁用SSID广播不是有效安全防护措施——攻击者可轻松嗅探到SSID核心防护是WPA3802.1X 远程办公安全架构官方推荐ZTNA替代传统VPN必须做到 先认证后连接多因素认证 设备健康校验才能访问授权应用 最小权限仅授予工作必需的应用访问权限不开放整个内网 全程加密所有远程通信端到端加密禁止公网明文传输 持续信任评估实时监控行为设备状态异常立即终止会话 终端管控必须符合企业安全基线开启终端加密EDR禁止越狱/ROOT设备接入八、常见攻击与架构层面防护DDoS攻击网络层-应用层防护边界部署DDoS流量清洗 冗余带宽 流量限速 CDN分流源站压力中间人攻击数据链路层-应用层防护TLS/SSL端到端加密禁用低版本 DNSSEC 动态ARP检测/IP-MAC绑定 强身份认证内网横向移动网络层-应用层防护微分段管控东西向流量 零信任每次访问必须验证 最小权限禁止服务器默认全通 网络流量分析检测异常横向访问DNS攻击应用层防护DNSSEC保障解析真实性 DNS防火墙过滤恶意请求 禁用开放递归解析 冗余DNS架构SQL注入/XSS应用层防护WAF过滤恶意请求 输入验证/输出编码 应用数据库账号最小权限 定期漏洞扫描九、6大误区纠正考试高频错题点❌ 误区①零信任就是取消网络边界不需要防火墙了✅ 纠正零信任不是取消边界而是将边界从集中式物理边界缩小到每个工作负载、每个会话防火墙微分段依然是核心落地组件❌ 误区②NGFW可以防护所有Web应用攻击不需要单独部署WAF✅ 纠正NGFW的Web防护能力远不如专业WAFSQL注入/XSS必须通过WAF实现精准防护NGFW无法替代❌ 误区③内网流量是可信的只需要防护好外网边界✅ 纠正官方明确70%以上的攻击来自内网横向移动现代架构必须对东西向流量执行与外网相同的安全标准零信任「永不信任」❌ 误区④VLAN分段就是微分段能防住横向移动✅ 纠正VLAN是粗粒度二层分段只能阻止跨VLAN横向移动无法阻止VLAN内横移微分段是工作负载级精细化隔离二者有本质区别❌ 误区⑤IDS可以主动阻断攻击和IPS功能一样✅ 纠正IDS旁路部署只能检测告警无法阻断IPS串联部署才能主动阻断攻击二者部署方式和核心功能完全不同❌ 误区⑥OT系统和IT系统用同一套网络安全架构即可✅ 纠正OT系统安全优先级是可用性完整性保密性与IT完全相反必须通过Purdue模型分层隔离单向网闸防护禁止直接套用IT安全架构十、跨域关联速查→ Domain 1 安全与风险管理网络安全架构是风险缓解的核心落地措施依据风险评估结果最终责任归最高管理层→ Domain 2 资产安全网络分段和访问控制的核心依据是资产分级分类核心数据资产的传输加密通过网络架构落地→ Domain 3 安全架构与工程本知识点是Domain3安全架构在网络层面的延伸密码学是TLS/IPSec/VPN的核心技术支撑→ Domain 5 身份与访问管理网络访问控制的核心是IAM零信任架构以身份为核心权限必须与最小权限原则对齐→ Domain 6 安全评估与测试网络架构安全审计、渗透测试、漏洞扫描、配置合规检查均属Domain6验证架构有效性→ Domain 7 安全运营网络流量监控、日志审计、入侵检测、事件响应、威胁狩猎是Domain7的日常核心是架构长期有效的保障→ Domain 8 软件开发安全API网关、WAF是Web应用/API安全的核心防护网络安全架构与应用开发安全深度融合实现安全左移十一、考前速记 OSI层级防护速记口诀物理门禁防窃听链路ARP要检测网络防火墙加密传输TLS来保障会话ID要随机应用WAF不能少 DMZ三大铁律① 外网只能访问DMZ指定端口② DMZ不能主动访问内网③ 必须通过防火墙完全隔离 IDS vs IPSIDS旁路→检测告警→不阻断→不影响业务IPS串联→检测阻断→影响业务→必须配Bypass VPN层级速记IPSec 网络层 站点互联 AHESPSSL VPN 应用层 远程办公 细粒度ZTNA 应用层 零信任 先认证后连接 OT vs IT优先级最高频易错点IT保密性 完整性 可用性CIAOT可用性 完整性 保密性AIC← 完全相反 零信任核心三条① 永不信任始终验证② 内网外网执行相同安全标准③ 授权是单次会话动态决策不是永久授权 云责任共担铁律无论IaaS/PaaS/SaaS数据安全身份与访问管理的最终责任永远在客户