
要点速览(TL;DR) 对安全专业人士而言,精通网络并非可选项:每一个数据包都可能成为攻击载体,每一种协议都是潜在攻击面。本指南逐层、逐协议讲解,帮助你在本地、云端、SD-WAN 与 Zero Trust 环境中捍卫现代网络。
再先进的终端或云服务,最终都要依赖网络传输。攻击者常借配置错误、隐式信任及遗留协议进行渗透、横向移动或数据外泄。因此,对每一次跳转、每个网段与每次握手实现可视化与控制,是“纵深防御”的基石。
| OSI 层 | 常见攻击 | 高效防御 |
|---|---|---|
| L1 物理层 | 线路窃听、射频干扰 | 屏蔽电缆、TEMPEST 机房、端口禁用 |
| L2 数据链路层 | MAC 泛洪、ARP 欺骗、VLAN 跨越 | 802.1X、DAI、端口安全、私有 VLAN |
| L3 网络层 | IP 伪造、BGP 劫持、路由注入 | uRPF、ACL、RPKI、IPsec 隧道 |
| L4 传输层 | TCP SYN/ACK 洪泛、UDP 放大 | SYN Cookie、速率限制、Anycast DDoS 清洗 |
| L5/6 会话 & 表示层 | 会话劫持、TLS 剥离 | 严格 TLS、HSTS、安全 Cookie 标记 |
| L7 应用层 | DNS 缓存投毒、SQLi/XSS、API 滥用 | WAF、DNSSEC、mTLS、模式校验 |
多层防御迫使攻击者同时突破多道独立屏障,而非单点破坏。
无状态 → 易被伪造 → 中间人攻击。 缓解措施: 启用 DAI、关键主机使用静态 ARP 表。
易受缓存投毒与反射放大攻击。 缓解措施: DNSSEC、RRL、专用出口解析器、分离视图。
三次握手可被用于 SYN 洪泛与 Banner 抓取。 缓解措施: SYN Cookie、防火墙握手代理、阻断 NULL/FIN/Xmas 扫描。
内置加密虽好,但流量不透明削弱 IPS 效果——可借助 ML 或 JA3-S 指纹检测。
在云/SaaS/移动时代,仅靠周界防护已不足。NIST SP 800-207 Zero Trust 架构将所有流量视为不可信:
Gartner SASE 将 SD-WAN、NGFW、CASB、SWG 与 ZTNA 结合为云服务,统一策略、随处一致。
SDN 控制平面集中,高效但一旦被攻陷影响全网。加固要点:带外管理、平面间 mTLS、运行时流规则签名。
| 控制 | 目的 | 主流工具 |
|---|---|---|
| NGFW / UTM | 状态检测 + L7 规则 | Palo Alto、FortiGate、pfSense |
| IDS/IPS | 签名 & 异常告警 | Suricata、Zeek、Snort |
| NDR | 行为分析、横向威胁猎捕 | Corelight、Darktrace、Vectra |
| SIEM / SOAR | 日志关联、自动响应 | Splunk、ELK、Chronicle、XSOAR |
| 包/流捕获 | 深度取证、重建事件 | Arkime、NetFlow/IPFIX |
提示: 将检测规则映射到 MITRE ATT&CK v17 的网络技术,确保可衡量覆盖率。
| 技术 | 目标 | 推荐工具 |
|---|---|---|
| 侦察 & 扫描 | 面攻击面绘制 | Nmap、Masscan |
| 利用 | 验证缺口 | Metasploit、Scapy |
| Red/Purple Team | 模拟完整 kill-chain | Cobalt Strike、Sliver |
| 持续 BAS | 审计间安全兜底 | AttackIQ、SafeBreach |
现代防御者需精通“数据包”与“有效载荷”双语。深刻理解 Ethernet 帧的每个字段及 Zero Trust 的每条原则,才能构建 可探测、能承受、易恢复 的多向威胁防护网络。持续学习、持续抓包——看不见的,就无法防护。