第11章 安全网络架构与组件

This chapter discusses OSI, TCP/IP, devices, and firewalls.

本章讨论 OSI、TCP/IP、网络设备和防火墙。

它先讲网络怎么通信，再讲如何把通信变得可控、可隔离、可监控。

看到 Domain 4.1 与 4.2，优先想到网络架构和网络组件。

Secure design requires communication technologies.

安全设计需要理解通信技术。

如果不知道包、帧、端口、地址、路由和广播域，就很难判断控制放在哪里。

CISSP 喜欢问控制应该落在哪一层、哪个边界、哪类流量上。

Network security involves devices and protocols.

网络安全涉及设备与协议。

设备负责转发、过滤、连接和隔离；协议定义通信规则和风险。

不要只背产品名，要能说出它工作在 OSI 哪一层。

Chapters 11 and 12 cover the domain together.

第 11 和第 12 章共同覆盖该领域。

第 11 章偏架构和组件，第 12 章偏安全通信、攻击和防护。

复习时把两章串起来：结构先行，攻击随后。

Models, protocols, and controls work together.

模型、协议和控制需要配合。

模型帮你定位问题，协议告诉你数据怎么走，控制决定谁能走、怎么走。

答题时先定位层次，再选最小且合适的控制。

Protocols define network transmission rules.

协议定义网络传输规则。

协议规定数据格式、顺序、控制信息、错误处理和对端如何理解。

protocol 是规则集合，不是某个单独设备。

OSI is a conceptual framework.

OSI 是概念框架。

它帮助不同厂商系统互操作，也帮助学习者分层理解通信。

OSI 是理论模型，TCP/IP 是现实中更常见的协议栈。

The OSI model divides tasks into seven layers.

OSI 将网络任务分为七层。

从上到下是应用、表示、会话、传输、网络、数据链路、物理。

层号从下往上数，物理层是 L1，应用层是 L7。

Encapsulation adds headers and sometimes footers.

封装会添加头部，有时还会添加尾部。

发送端数据向下走，每层都把上一层内容当成自己的负载。

向下是 encapsulation，向上是 deencapsulation。

Peer layers understand layer-specific information.

对等层能理解本层添加的信息。

本机 L4 加的端口和序号，由对端 L4 解读；其他层只负责传递。

peer-layer communication 是逻辑通信，不是物理直连。

PDU names change by OSI layer.

PDU 名称会随层变化。

L7-L5 叫 PDU，L4 叫 segment/datagram，L3 packet，L2 frame，L1 bits。

PDU 对照表是高频死记点。

Devices operate at different OSI layers.

设备工作在不同 OSI 层。

路由器看 IP 属 L3，交换机看 MAC 属 L2，集线器和中继器偏 L1。

多层设备可能跨层，但基础功能仍要会定位。

The TCP/IP model has four layers.

TCP/IP 模型有四层。

常见划分是应用层、传输层、网际层、链路层，与 OSI 七层大致映射。

TCP/IP 的应用层通常覆盖 OSI 的应用、表示、会话。

TCP/IP is platform independent.

TCP/IP 与平台无关。

它基于开放标准，能让不同厂商、不同系统之间互通。

开放互通带来普及，也带来广泛攻击面。

Analyzers capture and display network traffic.

分析器捕获并显示网络流量。

抓包能用于故障排查、性能分析、取证和攻击观察。

抓包本身也可能暴露敏感信息，尤其是明文协议。

Capture and display filters differ.

捕获过滤和显示过滤不同。

捕获过滤决定收哪些包，显示过滤决定已经抓到的包怎么筛。

capture filter 更影响数据是否被保存。

Telnet uses TCP port 23.

Telnet 使用 TCP 23。

Telnet 明文传输，不适合安全管理，应优先用 SSH。

Telnet 23、FTP 20/21、TFTP 69 都常被问明文或弱安全。

SMTP, POP3, and IMAP support email.

SMTP、POP3、IMAP 支持邮件。

SMTP 负责发信，POP3/IMAP 负责收信或访问邮箱，实际应配合 TLS。

SMTP 25，POP3 110，IMAP 143；安全版本常另用加密端口或 STARTTLS。

HTTP, HTTPS, and DHCP are common services.

HTTP、HTTPS、DHCP 是常见服务。

HTTP 80，HTTPS 443；DHCP 用 UDP 67/68 给主机发地址配置。

端口号题常考服务、传输协议 TCP/UDP、是否加密。

SNMP manages network devices.

SNMP 管理网络设备。

SNMP agent 常用 UDP 161，trap 常用 UDP 162。

SNMPv3 才提供更好的认证和加密，旧版本弱。

Transport manages connection integrity.

传输层管理连接完整性。

它处理分段、排序、错误检查、流量控制、多路复用和会话规则。

L4 关键字：端口、segment、TCP、UDP、TLS。

TCP is connection-oriented.

TCP 是面向连接的。

TCP 使用握手建立会话，支持确认、重传、排序和流控。

需要可靠交付时选 TCP。

TCP uses a three-way handshake.

TCP 使用三次握手。

SYN、SYN/ACK、ACK 用于建立双方状态和序列号。

SYN flood 攻击常利用握手状态消耗资源。

FIN and RST can end sessions.

FIN 和 RST 可结束会话。

FIN 是正常关闭，RST 更像强制复位连接。

看到 reset、abrupt termination，常联想到 RST。

UDP is connectionless.

UDP 是无连接的。

UDP 开销低、不保证送达，适合语音、视频、实时流和查询型通信。

速度和低延迟优先时可用 UDP，但要接受丢包风险。

TLS protects application communications.

TLS 保护应用通信。

TLS 提供加密、完整性和身份验证，常用于 HTTPS、邮件和 API 通信。

SSL 已过时；题目问现代安全传输优先选 TLS。

DNS links names and IP addresses.

DNS 连接名称和 IP 地址。

用户记域名，计算机用地址通信，DNS 负责两者之间的转换。

DNS 是分层命名系统，不是单台服务器。

A maps names to IPv4.

A 记录把名称映射到 IPv4。

AAAA 记录把名称映射到 IPv6。

AAAA 不是四个 A 的优先级，而是 IPv6 地址记录。

PTR maps an address to a name.

PTR 将地址映射回名称。

PTR 常用于反向 DNS 查询，把 IP 解析成 FQDN。

反向解析看 PTR，不是 A 记录。

DNS uses TCP and UDP port 53.

DNS 使用 TCP 和 UDP 53。

UDP 常用于查询，TCP 常用于区域传输或较大的响应。

限制未授权 TCP 53 可降低区域传输泄露风险。

Caches speed up name resolution.

缓存加速名称解析。

客户端、本地解析器和服务器都可能缓存结果，提升速度也带来投毒风险。

DNS cache poisoning 会把用户带到错误地址。

Pharming redirects valid names.

Pharming 重定向合法名称。

攻击者把真实域名或地址导向假网站，用户看起来像访问了正确入口。

它偏 DNS/hosts/解析篡改，不同于普通钓鱼邮件。

DNS controls restrict unauthorized resolution.

DNS 控制限制未授权解析。

用内部 DNS、访问控制、DNSSEC、日志、阻断外部 DNS 和限制区域传输来降风险。

内部客户端应按策略只找受控 DNS。

IP is connectionless and unreliable.

IP 是无连接且不可靠的。

IP 负责寻址和路由，不保证送达、顺序或完整性。

可靠性通常由 TCP 或应用层机制补上。

IPv4 uses 32 bits; IPv6 uses 128 bits.

IPv4 使用 32 位，IPv6 使用 128 位。

IPv6 地址空间更大，还支持自动配置和新的地址作用域。

启用 IPv6 前要确认过滤、监控和安全设备都支持。

Loopback tests local networking.

回环地址测试本机网络。

IPv4 常见 127.0.0.0/8，IPv6 回环写作 ::1。

127.0.0.1 是最常见回环，但 IPv4 整个 127/8 都保留。

CIDR replaces strict classful addressing.

CIDR 取代严格分类地址。

用 /24、/16 这类前缀长度表示网络部分，比传统 A/B/C 类更灵活。

地址类可了解，但现代规划以 CIDR 为主。

TTL and hop limit prevent infinite forwarding.

TTL 和 Hop Limit 防止无限转发。

每过一个路由器就减少，归零后丢弃，避免环路无限转发。

IPv4 叫 TTL，IPv6 叫 Hop Limit。

ICMP reports network conditions.

ICMP 报告网络状态。

ICMP 用于错误和诊断，IGMP 支持组播成员管理。

Ping 常用 ICMP；组播成员关系想到 IGMP。

ARP resolves IP addresses to MAC addresses.

ARP 将 IP 地址解析为 MAC 地址。

同一二层网段内，主机要知道对方 MAC 才能发以太网帧。

ARP spoofing 是二层欺骗，常用动态 ARP 检测和交换机安全防护。

Physical segmentation separates infrastructure.

物理分段分离基础设施。

独立线缆、交换设备、机房和 air gap 都属于更硬的隔离。

air gap 强但运营成本高，不等于绝对无风险。

Logical segmentation uses virtual controls.

逻辑分段使用虚拟控制。

VLAN、VPN、VRF、虚拟域、路由器和防火墙都可切分逻辑边界。

逻辑分段需要正确配置和持续审计。

VLANs separate broadcast domains.

VLAN 分隔广播域。

同一物理交换网络可被划成多个逻辑二层区域。

VLAN 不是加密，不应被当成完整安全边界。

VPNs create encrypted communication channels.

VPN 创建加密通信通道。

它让不可信网络上的通信像通过受保护隧道一样传输。

VPN 保护链路，不自动证明终端安全。

Traffic flows north-south and east-west.

流量分为南北和东西方向。

南北是进出数据中心或云边界，东西是内部系统之间横向通信。

微分段尤其关注东西向横向移动。

Micro-segmentation supports zero trust.

微分段支持零信任。

用分布式防火墙、overlay、策略和身份把工作负载切得更细。

关键字：distributed firewall、overlay、encapsulation、zero trust。

Networks include data, control, and management planes.

网络包含数据、控制和管理平面。

数据平面转发流量，控制平面决定路由，管理平面用于配置和监控。

管理平面应强认证、限制来源并尽量带外。

Wireless networks use SSIDs.

无线网络使用 SSID。

SSID 是网络名称，Cell 是 AP 覆盖的区域，信道规划会影响干扰和性能。

隐藏 SSID 不是强安全控制。

WEP is no longer secure.

WEP 已不再安全。

WEP 的设计缺陷使其容易被破解，不应继续使用。

看到 WEP，基本选不安全或淘汰。

TKIP was a temporary replacement.

TKIP 是过渡替代方案。

WPA/TKIP 是为旧硬件过渡设计，后来被 WPA2/CCMP 取代。

TKIP 已弃用，不应作为现代推荐答案。

CCMP combines cipher modes.

CCMP 组合了分组密码模式。

WPA2 常用 AES-CCMP，是比 WEP/WPA 更强的基础方案。

企业无线还应结合 802.1X 和证书。

RADIUS supports authentication and accounting.

RADIUS 支持认证和计费。

802.1X 做端口接入控制，EAP 承载认证方法，RADIUS 常做后端 AAA。

RADIUS UDP 1812/1813，TACACS+ TCP 49。

EAP is an authentication framework.

EAP 是认证框架。

PEAP 把 EAP 放进受保护隧道；LEAP 是 Cisco 旧方案。

EAP 不是单一算法，要看具体方法。

Wireless networks face rogue access points.

无线网络面临恶意接入点。

Evil Twin、Rogue AP、Deauth、Replay、War Driving 都针对无线特性。

公共 Wi-Fi 上使用 VPN 是常见建议。

Wireless includes cellular and satellite.

无线也包括蜂窝和卫星。

4G/5G、蓝牙、Zigbee、卫星各有距离、带宽、功耗和安全模型。

不要把 wireless 只理解成 Wi-Fi。

CDNs distribute hosted content.

CDN 分发托管内容。

CDN 把内容放到离用户更近的节点，提升吞吐、延迟和多媒体体验。

CDN 关注性能与可用性，也要考虑缓存安全和供应商风险。

Edge networks sit near ingress and egress.

边缘网络靠近入口和出口。

边缘节点处理靠近用户或外部连接的流量，减少延迟并控制边界。

ingress 是进入，egress 是出去。

SDN separates control and data planes.

SDN 分离控制平面和数据平面。

控制器集中下发策略，设备按策略转发，自动化能力更强。

保护 SDN 控制器和 API 是重点。

Software-defined networks virtualize functions.

软件定义网络可虚拟化功能。

SD-WAN 用软件管理广域连接，NFV 把网络功能从专用硬件中抽出来。

虚拟化提高弹性，也带来配置和编排风险。

VPCs provide isolated cloud networking.

VPC 提供隔离的云网络。

VPC 通常包含子网、路由表、安全组、网关和私有地址空间。

云网络边界是逻辑边界，仍需访问控制和日志。

Converged protocols carry specialized traffic.

融合协议承载专用流量。

iSCSI、VoIP、InfiniBand over Ethernet、CXL 等把存储、语音或高速互连放进网络架构。

融合后要同时看性能、隔离、QoS 和安全控制。

Layer 1 devices handle signals.

第 1 层设备处理信号。

NIC、Hub、Repeater、Amplifier 主要处理物理信号、端口和距离。

Hub 不理解帧和地址，通常扩大碰撞域。

Switches forward frames by MAC address.

交换机按 MAC 地址转发帧。

交换机工作在 L2，可减少碰撞域，也可用 VLAN 划分广播域。

L2 关键字是 frame、MAC、switch、bridge。

Routers forward packets by IP address.

路由器按 IP 地址转发数据包。

路由器根据路由表、度量、下一跳和策略决定路径。

L3 关键字是 packet、IP、router、routing table。

Routing protocols choose paths.

路由协议选择路径。

RIP 是距离向量，OSPF/IS-IS 是链路状态，BGP 是路径向量。

BGP 用于自治系统之间，是互联网核心外部路由协议。

MPLS forwards by labels.

MPLS 按标签转发。

MPLS 不按传统每跳完整 IP 查表，常用于高吞吐和服务商网络。

MPLS 关注标签、路径和服务质量，不等于自动加密。

Jump servers control administrative access.

跳板机控制管理访问。

管理员先进入受控跳板机，再访问内部设备，便于认证、审计和限制来源。

jump server 是管理平面保护手段。

Aggregators collect traffic or telemetry.

聚合器汇聚流量或遥测。

IDS/IPS、SIEM 或监控系统可能通过聚合器收集多个传感器数据。

集中汇聚提升可见性，也要保护其完整性和可用性。

Load balancers distribute requests.

负载均衡器分发请求。

它把流量分配到多台后端，提高可用性和性能。

负载均衡可做健康检查，但要注意会话保持和 TLS 终止。

NAC controls network access by policy.

NAC 根据策略控制网络访问。

它检查用户、设备、补丁、配置和健康状态，再决定放行、隔离或修复。

NAC 是自动化检测与响应系统，不只是 802.1X。

802.1X provides port-based access control.

802.1X 提供基于端口的访问控制。

客户端、交换机或 AP、认证服务器配合完成接入认证。

802.1X 是 NAC 的一种常见实现，而不是全部 NAC。

NAC can be preadmission or postadmission.

NAC 可在准入前或准入后执行。

预准入先检查再接入，后准入接入后持续监控并可隔离。

持续合规常需要后准入或实时监测。

NAC may use agents or agentless assessment.

NAC 可使用代理或无代理评估。

永久代理长期监控，可溶解代理临时运行；无代理依赖网络观察或扫描。

agent-based 可见性强，但部署和维护成本更高。

Firewalls filter traffic using rules.

防火墙用规则过滤流量。

规则可基于源、目的、端口、协议、状态、应用、URL 或身份。

防火墙不是万能，误配置很常见。

Packet filters inspect headers.

包过滤检查头部。

静态包过滤通常看 L3/L4，如 IP、协议和端口，不理解完整会话。

stateless 关键字对应静态包过滤。

Stateful firewalls track sessions.

状态检测防火墙跟踪会话。

它知道连接是否由内部合法发起，能根据会话状态放行返回流量。

state table 是状态防火墙核心。

NGFWs add advanced security functions.

下一代防火墙加入高级安全功能。

NGFW 可集成 IDS/IPS、URL、应用识别、NAT、VPN；ISFW 用于内部横向分段。

ISFW 关注内部传播控制，WAF 关注 Web 应用层保护。

Each endpoint must provide security.

每个终端都必须提供安全。

服务器、笔记本、移动设备、IoT 和虚拟机都可能成为入口。

endpoint security 不只是杀毒软件。

Host tools detect or prevent attacks.

主机工具检测或阻止攻击。

HIDS 偏检测，HIPS 更主动阻止，常配合日志、基线和策略。

IDS 是检测，IPS 是防御，主机型和网络型要分清。

EDR monitors endpoint activity.

EDR 监控终端活动。

EPP 更偏预防平台，XDR 把终端、网络、身份和云信号关联起来。

XDR 不是只看端点，常包含 NTA、NIDS/NIPS 和编排能力。

Media affects signal quality.

介质影响信号质量。

双绞线、同轴、光纤、无线在带宽、距离、抗干扰和成本上不同。

光纤抗 EMI/RFI 强，适合距离和高带宽。

Topology shapes availability and risk.

拓扑影响可用性和风险。

星型、总线、环型、网状、混合拓扑有不同单点故障和冗余特点。

网状冗余强但成本和复杂度高。

Cabling requires physical protection.

布线需要物理保护。

机柜锁、线缆标记、端口禁用、PDS、文档和巡检能降低插线与窃听风险。

网络口不用就禁用，线缆要有标签和授权变更。

Media selection balances multiple factors.

介质选型要平衡多因素。

带宽、距离、干扰、成本、安全、易维护性一起决定最终方案。

题目问 best choice，要结合场景而不是选最贵技术。