- 1
- 0
- 约3.23万字
- 约 46页
- 2026-06-23 发布于江西
- 举报
网络安全与密码技术手册(执行版)
第1章网络安全基础架构与威胁态势
1.1网络分层模型与边界防护体系
网络分层模型采用OSI七层架构或TCP/IP四层模型,将网络划分为用户层、网络层、传输层、网络应用层、传输层、数据链路层和网络层,每一层负责特定的功能,如IP地址分配、数据包转发或数据加密。在边界防护体系中,通常将第一层(用户层)作为最外圈,负责身份认证和访问控制;第二层(网络层)部署防火墙和入侵检测系统(IDS),负责过滤非法流量;第三层(传输层)部署下一代防火墙(NGFW)和防病毒软件,负责深度包检测(DPI)和恶意代码拦截。边界防护体系的核心是“纵深防御”策略,即在不同层级部署不同功能的设备形成相互制约的防御体系。例如,在边界网关处部署下一代防火墙,利用其应用识别功能(D)识别HTTP请求中的具体业务逻辑漏洞,并结合行为分析算法,对异常流量进行实时阻断。对于第二层网络,部署基于特征库的防火墙,能够精确匹配已知的恶意IP和域名,防止DDoS攻击流量通过。
在传输层,部署下一代防火墙不仅能进行流量过滤,还能执行应用层识别,识别出用户正在访问的Web服务类型,从而决定是否需要额外的加密或认证措施。同时,结合流量分析技术,可以监控传输层的数据包长度、频率和序列号,识别出非正常的扫描行为或数据泄露迹象。数据链路层作为最后一道物理屏障,通过部署
原创力文档

文档评论(0)