计算机网络安全与维护手册.docxVIP

计算机网络安全与维护手册

第1章

网络安全基础与威胁防护

1.1计算机网络架构与安全模型

计算机网络的架构通常分为物理层、数据链路层、网络层、传输层、应用层及安全层，每一层都有特定的功能，例如物理层负责比特流的传输，而安全层则专注于身份验证、加密和完整性校验，确保数据在传输过程中的机密性和可靠性。安全模型基于“信任边界”理论，将网络划分为内部可信区域和外部不可信区域，内部区域默认可信，外部区域默认不信任，所有进出边界的数据和实体都必须经过严格的身份认证和访问控制策略进行验证与放行。

在物理架构中，核心设备如交换机和路由器构成了网络的骨干，它们通过多层交换技术实现高速数据交换，同时内置了防篡改机制，确保网络拓扑结构在物理层面未被非法修改。逻辑架构通过防火墙、入侵检测系统和隔离区（如DMZ）构建，逻辑边界即使被物理攻破，也能通过策略限制攻击者的横向移动，防止攻击者从内网横向渗透至管理区或外部。安全模型强调最小权限原则，即用户或系统仅获得完成特定任务所需的最小权限，例如仅允许用户访问其工作目录下的必要文件，而非整个服务器文件系统，从而降低潜在的数据泄露风险。

典型的安全模型配置示例包括：在交换机上启用基于MAC地址的访问控制列表（ACL），仅允许特定MAC地址的设备接入网络，并配置动态访问控制列表（DACL）以支持身份认证后的动态权限分配。

1.2常见网络攻