6.4 安全控制策略 (3课时)
本课核心知识点整理
从“威胁”走向“控制”
前面的小节讲了病毒、木马、主动攻击、被动攻击。安全控制策略回答的是下一步:面对这些风险,系统应该用哪些技术和管理手段把风险降下来。
安全控制不是一个单点设备,而是一套组合拳。它通常覆盖四个阶段:
| 阶段 | 要解决的问题 | 典型技术 |
|---|---|---|
| 预防 | 不让不该发生的访问发生 | 防火墙、访问控制、身份识别、加密 |
| 检测 | 发现异常行为或薄弱点 | 入侵检测、漏洞扫描、病毒检测 |
| 响应 | 出现攻击后限制损失 | 入侵防御、隔离、封禁、应急处置 |
| 恢复 | 被破坏后尽快恢复业务 | 备份、补丁、配置回滚、灾备 |
考试经常不是问“哪个技术更高级”,而是问“题干描述的控制目标属于哪一类”。例如,发现未修补漏洞是漏洞扫描,发现可疑入侵行为是 IDS,控制不同安全区域之间的通信是防火墙。
安全控制的整体地图
这张图要读出三层意思:
- 防火墙主要守边界,不代表内网天然没有风险。
- DMZ 用来放置需要被外部访问、但又不应直接进入内网的服务器。
- 检测、审计、身份识别、访问控制不是防火墙的替代品,而是补齐防火墙看不到的部分。
为什么不能只靠防火墙
防火墙的经典假设是“外部不可信,内部相对可信”,所以课堂强调它的典型特点是“防外不防内”。这个说法在考试中很有用,但实际理解时要更细一点:
| 防火墙能做 | 防火墙不擅长做 |
|---|---|
| 控制内外网之间哪些流量能通过 | 判断内部员工是否越权操作 |
| 按 IP、端口、协议、应用规则过滤 | 保证主机没有弱口令、漏洞和木马 |
| 隔离公网服务与核心内网 | 还原已经发生的操作责任 |
| 降低外部扫描和攻击面 | 单独完成数据备份和灾难恢复 |
所以完整的安全控制策略一定是“边界 + 主机 + 应用 + 人员 + 管理”的组合。
三课时的知识主线
| 小节 | 课程核心 | 学习时抓什么 |
|---|---|---|
| 6.4.1 | 安全控制策略概述 | 防火墙的基本特点、控制技术的分类视角 |
| 6.4.2 | 防火墙技术 | 包过滤、状态检测、应用代理、DMZ、部署结构 |
| 6.4.3 | 其他安全控制技术 | 加密、用户识别、访问控制、漏洞扫描、IDS |
本节还承接了病毒与木马:病毒偏“自我复制和传播”,木马偏“伪装后留后门,便于远程控制”。因此安全控制不只是网络边界问题,也包括主机防病毒、漏洞修补、权限控制和异常检测。
例题
用于控制内外网边界通信、过滤进出流量的典型安全技术是:
较完整的安全控制思路应是:
自查要点
- 为什么防火墙常被说成“防外不防内”?
- DMZ 为什么不能简单理解为“内网的一部分”?
- 漏洞扫描和入侵检测分别在发现什么?
- 病毒、木马和后门与安全控制策略有什么关系?
- 预防、检测、响应、恢复分别对应哪些技术?