当前位置：首页 > article >正文

网络安全架构战略网络安全体系结构

article 2026/4/19 17:44:40

本节书摘来自异步社区《网络安全体系结构》一书中的第1章，第1.4节，作者【美】Sean Convery

1.4 一切皆为目标

网络安全体系结构
当前的大型网络存在着惊人的相互依赖性，作为一名网络安全设计师，对这一点必须心知肚明。Internet就是最好的例子，而且每个组织机构内都的网络其实都是Internet的一个缩影。从攻击者的观点看，它们之间的相互依赖性让攻击者能够以无穷无尽的方法来达到目的。

举例来说，我们假设有一位攻击者想让你的Web站点停止服务，那么他/她可以采取的方式有下面这些。

找到你系统中的应用程序或操作系统漏洞，攻击它获得root权限，随后轻松地让服务器脱机或修改服务器的内容。
向你的Web服务器发送某些类型的直接拒绝服务的攻击（Denial of Service，DoS），比如旨在耗尽服务器资源使其无法响应的TCP SYN泛洪攻击。
向你的Internet连接发送旨在耗尽所有可用带宽的DDoS攻击，以此阻止合法用户访问服务器。
向路由器或防火墙发送伪造的数据包，以占据它们处理合法流量的资源来处理无用的数据。
设法控制你的域名系统（Domain Name System，DNS）服务器或Internet服务提供商（Internet Service Provider，ISP）的DNS服务器，更改名称记录使其指向一台伪装的服务器。
设法控制一台与该Web服务器处于同一子网的服务器，执行地址解析协议（Address Resolution Protocol，ARP）欺骗攻击，以拒绝所有Web请求服务或通过中间人（man-in-the-middle，MITM）攻击在请求的数据前往目的主机时修改其内容。
设法控制该服务器连接的上游交换机，并禁用相应的端口。
添加或修改该服务器的ISP的路由选择信息，使对这台服务器的IP子网查询被定向到另一个位置。
攻击者能够采取的攻击方法可以无限地罗列下去。在前面的示例中，攻击者有几个目标可供选择，如下所示。

应用程序与操作系统的代码安全。
应用程序与操作系统的拒绝服务攻击。
Internet带宽。
路由器或其他第3层（Layer 3，L3）设备。
DNS重定向。
TCP/IP协议集。
二层（Layer 2，L2）设备。
路由选择协议。
你总结出一个包含了所有类型联网设备的列表，这些设备有可能位于这个世界上的任何一个角落，比如：终端工作站、服务器、无线LAN接入点（Wireless LAN Access Point，WLAN AP）、路由器、操作系统、交换机、防火墙、网络介质、应用程序、负载均衡器、个人数字助理（Personal Digital Assistant，PDA）、蜂窝电话等。一切皆为目标。

在部署安全策略时，人人往往过分关注对服务器的保护，而没有把足够的精力花费在保护网络的其他部分上。虽然与Internet连接的服务器（例如Web服务器的例子）毫无疑问是最明显的目标之一，但是只注重保护这些系统会让你的设计在其他许多地方存在漏洞。想想看，下面哪种攻击对你的企业损害更大？

（1）Web站点遭到了不良资料的丑化，这事成了世界上的新闻头条。

（2）一位内部员工获得了你的CEO邮件，随后他知晓了还没有公开的采购计划。通过闯入你的语音邮件系统获得进一步细节后，员工从该信息中获利（包括该员工的合作者），你的公司在一个月后由于内部交易受到调查。

第2点明显对公司具有最大的影响。另外，对服务器的如此担心说明你认为那是最关键的资源所在之处。但是在当今移动办公、便携式电脑大行其道的背景下，这些设备也可以像服务器那样包含重要的组织机构信息。此外，攻击者通常更容易控制便携式电脑。如果你能静下来，仔细思考一下攻击者都能通过什么方式进入网络，你一定会得到一个可怕的结论。然而，作为一名安全设计师，你必须考虑到保护组织机构中每个系统的方法，因为攻击者只会设法寻找那些留有漏洞的地方。你会在第2章中看到，好的安全策略可以让你把心思放在那些值得花费心思的地方。

网络安全学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

特别声明：
此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失

网络安全架构战略网络安全体系结构

1.4 一切皆为目标

网络安全学习路线

相关文章：

网络安全架构战略网络安全体系结构

【算法】回溯算法

AI大模型（如GPT、BERT等）可以通过自然语言处理（NLP）和机器学习技术，显著提升测试效率

Centos安装php-8.0.24.tar

机器学习（李宏毅）——RNN

Linux 文件系统inode软硬链接

多目标粒子群优化算法-MOPSO-（机器人路径规划/多目标信号处理（图像/音频））

Unity合批处理优化内存序列帧播放动画

LayUi点击查看图片组件layer.photos()用法（图片放大预览后滚动鼠标缩放、底部显示自定义标题）

DAY07 Collection、Iterator、泛型、数据结构

k8s集群如何赋权普通用户仅管理指定命名空间资源

DeepSeek与ChatGPT的全面对比

C# dynamic 关键字使用详解

sql server 数据库锁教程及锁操作

超全Deepseek资料包，deepseek下载安装部署提示词及本地部署指南介绍

DeepSeek24小时写作机器人，持续创作高质量文案

用deepseek学大模型08-卷积神经网络(CNN)

玩客云 IP查找

【鸿蒙Next】鸿蒙应用发布前的准备

【OpenCV】入门教学

嵌入式 lwip http server makefsdata

qemu-kvm源码解析-cpu虚拟化

【蓝桥杯集训·每日一题2025】 AcWing 6123. 哞叫时间 python

数据治理中大数据处理一般都遵循哪些原则

Linux 多进程生产者消费者模型实现

【Python pro】基本数据类型

sql server查询IO消耗大的排查sql诊断语句

Spring Boot 自动装配原理深度剖析

kubernetes源码分析 kubelet

Golang学习笔记_33——桥接模式