1.3 网络防护

网络攻击与网络防护是紧密联系在一起的，此消彼长，不断变化。新型网络攻击技术手段层出不穷，越来越高明。为了应对攻击，网络安全防护技术也在不断提升，从而保护网络信息系统的安全。近年来，我国有关部门相继出台了《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》等一系列法律法规，为网络安全营造良好的政策环境。我国的网络安全工作被提高到国家战略高度，有力促进了网络安全的全面、快速发展。

1.3.1 网络架构

网络通常是指由计算机或者其他信息终端及相关设备组成的，按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台或系统、大数据应用、平台或资源、物联网（Internet of Things，IoT）、工业控制系统和采用移动互联技术的系统等。典型网络架构如图1-6所示。

网络中典型的实体与软件包括服务器、安全设备、网络设备、数据库系统和应用系统等。

（1）服务器

服务器是计算机的一种，它比普通计算机运行更快、负载更高、价格更贵。服务器在网络中为其他客户机提供计算或者应用服务。服务器具有高速的CPU运算能力、长时间的可靠运行、强大的I/O外部数据吞吐能力以及更好的扩展性。

（2）安全设备

安全设备指防火墙、入侵检测、入侵防御、漏洞扫描、抗DDoS攻击设备、VPN网关、Web应用防火墙（Web Application Firewall，WAF），以及上网行为管理等提供网络安全防护功能的相关设备。

（3）网络设备

网络设备指网络建设所使用的关键设备或扩展设备和线路，如路由器、交换机、无线控制器等。

（4）数据库系统

数据库系统指负责存储网络中重要信息的应用系统，如Oracle、SQL Server、MySQL等。

（5）应用系统

应用系统指各业务流程运行的支撑系统或专用系统，如OA系统、门户网站、财务管理系统、客户关系管理（Customer Relationship Management，CRM）系统等。

1.3.2 网络安全防御体系

随着网络攻击技术的多样化和高级化，信息系统面临着多种安全威胁，构建网络安全防御体系，为企业网络架构中的网络设备、安全设备、服务器、数据库系统、应用系统提供全面的安全防护，是保护信息系统和网络数据完整性、可用性、保密性的必要手段。常见的防御体系有边界防御体系和纵深防御体系。

1.边界防御体系

边界防御是最常见的防御体系。由图1-6所示的典型网络架构可以发现，在设计网络架构时，会根据不同的安全需求进行分区、分域，形成“服务域”“接入域”等安全域，不同安全域间网络相连接产生了网络边界。在网络边界，针对业务和网络出/入口实施的防御措施都叫边界防御。例如，在企业网络架构中，核心业务系统入口就是边界，入侵检测系统、防火墙和WAF都属于常见的边界防御安全设备。边界防御是流量进入内网的第一道防线，安全防护设备部署在网络边界，能够捕捉和分析所有的流量，有条件的还可执行全局主动控制。

边界防御适用于安全防护体系中的初级阶段，处于初级阶段防护的信息系统在安全防护中属于无感知、无管控、无系统化的梳理和整改措施的情况。

2.纵深防御体系

网络安全的本质就是攻击者与防护者之间的攻防战，因此，网络安全领域的“纵深防御”与战争学中的“纵深防御”思想有着强烈的共通之处。纵深防御的核心是多点布防、以点带面、多面成体，形成一个立体化、多层次、全方位的防御体系，保障信息系统的安全。

纵深防御体系是对边界防御的提升，其本质是设置多层防御，降低攻击者突破防御措施的概率，提高攻击者突破多层防御的难度和攻击成本，阻碍其接触核心数据资产和内部设施。大型安全厂商一般都会提供纵深防御体系的解决方案。例如，在Web安全防护领域，纵深防御体系一般包含数据库端、服务器端、网络层、网络边界四层，对应的安全产品如下。

1）数据库端：主要包括数据库审计、数据库防火墙等。

2）服务器端：主要包括主机入侵检测系统、服务器杀毒软件、内核加固类产品、主机WAF等。

3）网络层：主要包括入侵检测系统、Web威胁感知、Web审计等。

4）网络边界：主要包括WAF、防火墙、入侵防御系统、流量清洗设备等。

纵深防御安全产品的优点是定位清晰，不同类型产品可以结合使用，安全防护效果较好；其缺点是产品间缺乏协同机制，检测手段大多基于黑白名单、特征库等，较为单一，无法长期应对使用零日漏洞及具有经济利益或者政治目的的攻击。

1.3.3 常见网络防护技术

网络攻击的手段多种多样，不同单位的网络架构和信息系统也不尽相同，有些攻击利用的是技术手段，有些攻击利用的是人性的弱点。为了应对网络攻击，需要构建完备的技术体系和管理体系，同时必须建立安全运营团队，形成完善的预警、监测、分析、应急处置机制。目前，成熟的网络安全防护措施有防火墙技术、防病毒技术、数据加密技术、入侵检测技术和流量分析技术等。

1.防火墙技术

防火墙技术是目前网络安全运行中较为常用的防护措施。防火墙技术不仅可以阻挡外部网络对被保护网络的非正常访问，还可以阻止系统内部对外部网络的不安全访问。在一定程度上，防火墙相当于在被保护网络与外部网络之间，搭建了一层不可轻易逾越的保护层。任何访问操作都要经过保护层的验证、过滤、许可才能进行，只有被防火墙验证授权的信息流才能允许通过。

2.防病毒技术

防病毒技术是另一种常见的网络安全防护措施。防病毒技术主要是针对计算机病毒的入侵，采用单机防病毒软件或者网络防病毒软件等形式进行计算机病毒的有效防护。一旦病毒入侵网络或通过网络侵染其他资源终端，防病毒软件会立刻进行检测并阻止操作，防止其行为的进行，然后删除病毒文件，减少侵染区域，保护信息资源安全。

3.数据加密技术

数据加密技术又称为密码学，是通过加密算法和加密密钥将明文转换成密文的技术。数据加密技术可以将重要的信息进行加密处理，使信息隐藏或屏蔽，以达到保护信息安全的目的。

4.入侵检测技术

入侵检测是指通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行检测，检测到对系统的闯入或闯入的企图。对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。入侵检测技术可分为主机型和网络型。主机型入侵检测技术往往以系统日志、应用程序日志等作为数据源，保护的一般是所在的主机系统。网络型入侵检测技术的数据源则是网络上的数据包，通常将主机的网卡设置为混杂模式，监听所有本网段内的数据包并进行判断，担负着保护整个网段的任务。

5.流量分析技术

流量分析技术是近几年流行的网络安全防护技术。其基本原理是从网络流量中发现攻击特征，因为网络流量包含整个网络通信的信息，任何攻击都会在网络流量中留下线索，且正常的流量与攻击流量一般存在明显的差异。流量分析技术结合日志和威胁情报的综合分析，在目前安全防护工作中凸显的价值越来越高。