网络安全技术与风险评估手册（执行版）.docxVIP

网络安全技术与风险评估手册（执行版）

第1章网络安全基础理论与防护体系

1.1网络架构与通信协议原理

网络架构是数据流动的骨架，现代安全架构通常采用“零信任”与“微服务”理念，将核心业务部署在内部可信区，外部流量通过受控边界进入。以典型的企业内网为例，其物理拓扑包含核心汇聚层、接入层及无线覆盖区，各区域通过VLAN进行逻辑隔离，确保不同部门的数据无法越域访问。通信协议是数据交换的语法，TCP/IP协议族确立了可靠传输的标准，其中TCP三次握手与四次挥手机制保证了连接的有序建立与关闭，防止数据丢包；而TLS1.3协议则通过加密握手流程，在传输层建立安全通道，默认禁用弱加密套件（如RC4、3DES），强制使用AES-256和ChaCha20-Poly1305算法。

防火墙作为边界防护的第一道防线，基于包过滤（PacketFiltering）和状态检测（StatefulInspection）机制工作，可配置“允许”、“拒绝”或“重定向”策略，例如在允许端口80/443的同时，自动阻断端口23的SSH连接，有效阻止未授权访问。入侵检测系统（IDS）通过监控网络流量特征与主机行为模式，利用签名库（Signature-based）和基于异常的检测（Anomaly-based）技术识别威胁。例如，当系统检测到大量短连接且频繁跳板，且响应时