6.4.1 安全控制策略知识点概述
本课核心知识点整理
安全控制的本质是“把信任边界画清楚”
安全控制策略不是先问“买什么设备”,而是先问三个问题:
| 问题 | 含义 | 对应控制 |
|---|---|---|
| 谁在访问? | 主体身份是否可信 | 身份识别、认证 |
| 访问什么? | 客体资源是否敏感 | 访问控制、权限模型 |
| 从哪里访问? | 网络区域是否可信 | 防火墙、DMZ、隔离 |
| 做了什么? | 操作是否可追踪 | 日志审计、入侵检测 |
| 出事怎么办? | 是否能恢复和止损 | 备份、补丁、应急响应 |
课堂在这一小节进入防火墙,是因为防火墙最能体现“信任边界”:把内网和外网隔开,让所有跨边界通信都经过检查。
防火墙的核心假设
防火墙最经典的工作前提是:
| 假设 | 解释 | 风险 |
|---|---|---|
| 外网更危险 | 外部来源不可控,攻击、扫描、伪造更多 | 合理 |
| 内网相对可信 | 内部主机和用户被认为更可靠 | 现代环境下并不总成立 |
| 边界必须统一出口 | 进出流量都经过防火墙 | 绕过边界会削弱控制效果 |
因此考试常说防火墙“防外不防内”。这句话不是说防火墙完全无法处理内部流量,而是说传统防火墙的设计重点在内外边界,对于内部滥用、内网横向移动、主机已感染木马等问题,需要 IDS、终端安全、访问控制、审计等技术补充。
海关类比:为什么所有通信都要过关
课堂把防火墙类比为海关。这个类比的关键不是“墙”,而是“检查点”:
| 海关场景 | 网络安全场景 |
|---|---|
| 货物入境需要申报和检查 | 外部报文进入内网需要规则过滤 |
| 禁止物品不能通过 | 不符合策略的流量被拒绝 |
| 入境记录可追踪 | 安全日志可用于审计 |
| 海关不能保证国内没有违法行为 | 防火墙不能保证内网没有风险 |
这也是为什么企业网络常把外部访问、内部业务、数据库、管理网拆成不同安全域,而不是全部放在一个扁平网络里。
控制策略常见组合
| 控制组合 | 适合场景 | 作用 |
|---|---|---|
| 防火墙 + DMZ | Web、DNS、邮件等需要对外服务 | 对外服务可访问,核心内网被隔离 |
| 身份认证 + 访问控制 | 系统登录、文件访问、数据库访问 | 确认身份并限制权限 |
| 漏洞扫描 + 补丁管理 | 操作系统、数据库、中间件维护 | 在被利用前发现薄弱点 |
| IDS + 日志审计 | 异常行为监控、事后取证 | 发现可疑行为并保留证据 |
| 备份 + 恢复演练 | 勒索、误删、灾害、硬件故障 | 降低数据和业务中断损失 |
学习边界
软件设计师考试对这一节通常不要求配置防火墙规则,也不要求深入 IDS 算法。更常见的是概念匹配:
| 题干描述 | 优先匹配 |
|---|---|
| 内外网之间树立一道边界,过滤通信 | 防火墙 |
| 对外提供服务但不直接暴露内网 | DMZ |
| 通过用户名、口令、生物特征确认用户 | 用户识别/身份认证 |
| 控制用户对资源的访问权限 | 访问控制 |
| 检查系统漏洞并给出风险报告 | 漏洞扫描 |
| 根据可疑行为模式判断是否入侵 | 入侵检测 |
例题
传统防火墙的典型特点常概括为:
需要对互联网提供 Web 服务,但又不希望外部直接进入内网,常把服务器放在:
自查要点
- 防火墙为什么不是“所有安全问题的答案”?
- 安全控制策略为什么要先识别信任边界?
- DMZ 与内网、外网的关系是什么?
- 漏洞扫描、IDS、访问控制分别解决什么问题?
- 看到题干时,怎样从“动作”反推出安全控制技术?