CISSP 域4「网络架构安全」
🔴 Domain 4 · Communication and Network Security
OSG第十版 第10章+第11章 · 占Domain 4(13%)35%以上权重
📌 考前必看红线规则------这5条破防了直接扣分
① 网络安全架构必须默认拒绝、最小权限、纵深防御 ,三原则无例外
② 官方已否定「内网可信、外网不可信」的传统假设------零信任:永不信任,始终验证
③ 现代网络架构必须同时管控南北向流量(内外网之间)和东西向流量(内网之间) ,只防边界=重大缺陷
④ 网络安全架构最终责任由企业最高管理层 承担,不可通过外包或云服务转移
⑤ 安全控制必须与OSI七层精准匹配,攻击在哪层,防护就落地在哪层,防护错位=错误答案
一、核心术语速查(10个高频词)
🔷 南北向流量:内网与外网之间的流量,传统边界防护的核心对象
🔷 东西向流量:内网不同服务器/工作负载之间的横向流量,内网横向移动攻击的主战场
🔷 DMZ(非军事区):介于外网与内网之间的缓冲区域,部署对外服务器,隔离外网与内网
🔷 网络分段:将网络划分为不同安全等级的子区域,限制区域间访问,缩小攻击面
🔷 微分段:工作负载级/应用级/容器级的精细化逻辑隔离,零信任架构管控东西向流量的核心技术
🔷 零信任架构(ZTA):永不信任始终验证,每次访问都要完整认证+授权,不因位置而信任
🔷 SDN(软件定义网络):控制平面与数据平面分离,集中化策略管控,云原生网络基础
🔷 SASE:广域网能力+安全能力云原生融合,在边缘节点交付,替代传统总部集中式架构
🔷 NGFW(下一代防火墙):集成应用识别、用户身份识别、入侵防御、威胁情报,当前企业边界防护主流
🔷 Purdue模型:OT/工控系统标准网络分层模型,划分6个层级,严格隔离IT与OT网络
二、OSI七层安全控制全映射(必考,精准记忆)
考试核心:攻击在哪层,防护就必须在哪层,防护错位必错。
🔴 物理层
- 核心威胁:线路窃听、物理破坏、电磁泄露
- 防护措施:物理门禁、线路冗余、电磁屏蔽、光纤替代铜缆
- 考点:物理层安全是所有上层安全的基础,先保物理再谈逻辑
🟠 数据链路层
- 核心威胁:ARP欺骗、MAC地址欺骗、VLAN跳跃
- 防护措施:802.1X身份认证、端口安全、MAC绑定、动态ARP检测、VLAN隔离
- 考点:ARP欺骗=数据链路层攻击,用动态ARP检测防护;VLAN跳跃=二层隔离失效
🟡 网络层
- 核心威胁:IP欺骗、路由劫持、DDoS、数据包嗅探
- 防护措施:防火墙、IPSec VPN、路由过滤、反地址欺骗、DDoS防护
- 考点:网络层是传统边界防护核心,IPSec工作在此层;IP欺骗≠ARP欺骗(层级不同!)
🟢 传输层
- 核心威胁:端口扫描、SYN洪水、TCP会话劫持
- 防护措施:TLS/SSL加密、SYN Cookie、端口过滤、会话超时
- 考点:TLS/SSL是传输层核心加密;HTTPS = HTTP + TLS(应用层协议 + 传输层加密)
🔵 会话层
- 核心威胁:会话固定攻击、会话劫持
- 防护措施:随机会话ID、会话加密、会话超时自动终止
- 考点:会话层核心是防会话劫持,保证会话唯一性
🟣 表示层
- 核心威胁:加密降级攻击、字符编码注入、恶意代码伪装
- 防护措施:强制高强度加密算法、标准化数据编码、输入输出格式校验
- 考点:表示层是加解密、数据格式处理的核心层级
⚫ 应用层
- 核心威胁:SQL注入、XSS、CSRF、API漏洞、DNS劫持、钓鱼攻击
- 防护措施:WAF、API网关、身份认证与授权、DNSSEC、邮件安全、应用白名单
- 考点 :应用层攻击必须用WAF防护,普通网络层防火墙无法防护------这条极高频!
💡 速记:SQL注入/XSS→应用层→WAF;ARP欺骗→数据链路层→动态ARP检测;IP欺骗→网络层→防火墙+反欺骗;会话劫持→会话层→随机Session ID
三、8项核心架构设计原则(场景题判断依据)
① 纵深防御:多层异构重叠防护,单层失效不崩溃
- 禁止仅靠单一防火墙实现全防护,这是CISSP场景题最高频的错误答案
② 默认拒绝:默认拒绝所有流量,仅开放明确授权的端口/IP/协议
- 「默认允许,只封禁违规」= 错误架构
③ 最小权限:主体/系统/应用仅拥有完成工作必需的最小网络访问权限
- Web服务器只能访问数据库的指定业务端口,不能访问内网其他区域
④ 最小攻击面:关闭不必要的服务、端口、协议,禁用Telnet/FTP/HTTP等明文协议
- 替换为SSH/SFTP/HTTPS,从源头减少攻击入口
⑤ 分段隔离:按业务重要性、数据分级划分隔离区域,防止单点突破后全网横移
⑥ 流量可视化与可审计:全网流量可监控/可记录/可审计,日志不可篡改,留存满足合规要求
⑦ 安全与业务对齐:架构支撑业务正常运行,适配云迁移/远程办公/分布式变化,禁止纯技术安全设计脱离业务
⑧ 零信任核心原则:每一次访问都要身份认证+授权+设备健康+上下文风险评估,无永久默认信任
四、经典分层边界架构 → DMZ是必考核心
外网-DMZ-内网三层隔离(唯一标准答案)
🔴 外网(不可信区)
- 互联网、公网、外部不可信网络
- 仅能访问DMZ区域开放的指定服务与端口,禁止直接访问内网
🟠 DMZ(隔离区)
- 部署对外服务器:Web服务器、邮件服务器、反向代理、VPN网关
- ✅ 外网只能访问DMZ指定业务端口
- ✅ DMZ服务器禁止主动向内网发起访问(只能响应内网授权系统回调)
- ✅ 内网访问DMZ必须经过防火墙管控
- ✅ DMZ服务器之间的访问也必须受控
🟢 内网(可信区)
- 办公区、生产业务区、核心数据区,按安全等级进一步分段
- 外网无法直接访问,只能通过VPN、反向代理等受控渠道
- 内网与DMZ完全隔离,仅开放业务必需的最小访问权限
💡 比喻记忆 :
外网=银行门外的街道,DMZ=营业大厅(只能在窗口办业务),内网=后台金库(外部任何人不能进)
🚨 DMZ高频考点:
- DMZ服务器不能主动访问内网,这条错了直接扣分
- 三层架构必须通过防火墙完全隔离,禁止DMZ与内网直连
- DMZ是缓冲区,不是内网的一部分
传统架构的致命弱点
默认信任内网所有流量,只防南北向边界,完全忽略东西向流量管控 。
攻击者突破边界后,在内网横冲直撞------这就是零信任诞生的核心原因。
五、现代安全架构(第十版重点,必考)
🔐 1. 零信任架构(ZTA)------永不信任,始终验证
基于NIST SP 800-207标准,核心是打破「内网可信、外网不可信」的传统假设。
7条官方核心原则(必背):
① 所有数据源和计算服务都是资源,无论部署在哪里
② 所有通信必须是安全的,内网与外网执行相同标准
③ 对资源的授权是单次会话的动态决策 (综合身份+权限+设备+上下文风险)
④ 遵循最小权限原则 ,仅授予完成任务必需的最小资源访问权限
⑤ 所有访问必须经过完整的身份认证与授权 ,没有例外
⑥ 企业必须持续监控 所有资源和主体的完整性与安全状态
⑦ 所有访问行为必须全程记录、可审计
核心落地技术:
- ZTNA(零信任网络访问):替代传统VPN,先认证后连接,用户只能看到授权的应用,看不到整个网络
- 微分段:精细化管控东西向流量,阻断横向移动
- 持续信任评估:实时监控设备健康和用户行为,动态调整访问权限
- 身份为核心:访问控制的核心是身份,而非IP地址或网络位置
🚨 高频考点+易错点:
- 零信任不是取消网络边界,而是将边界从物理边界缩小到每个资源/每个会话------极高频!
- 零信任访问控制核心是身份,不是IP地址
- 零信任同时管控南北向+东西向,是与传统架构的核心区别
- 零信任的访问授权是单次会话、动态决策,不是永久授权
🔀 2. 微分段架构------阻断横向移动的利器
对比传统VLAN分段(必考区分):
隔离粒度
- VLAN分段:网段级,粒度粗
- 微分段:工作负载/应用/容器级,粒度极细
技术层级
- VLAN分段:数据链路层(二层)
- 微分段:网络层-应用层(三到七层)
部署限制
- VLAN分段:依赖物理网络设备,仅本地网络
- 微分段:不依赖物理网络,可跨本地+多云+虚拟化统一部署
横向移动防护
- VLAN分段:只能阻止跨VLAN的横向移动,VLAN内仍可横移
- 微分段:阻止任意两个工作负载之间的未授权横向移动,无死角
策略管理
- VLAN分段:基于IP/端口配置,策略数量多、运维复杂
- 微分段:基于身份/业务属性配置,策略与业务对齐,运维简单
🚨 核心易错点:微分段和VLAN不是替代关系,而是互补关系------VLAN是粗分段,微分段是精细化隔离
☁️ 3. SDN(软件定义网络)
- 核心:控制平面(路由决策/策略管理)与数据平面(数据包转发)分离
- 核心优势:安全策略集中管理、全网流量可视化、可实现动态访问控制(发现攻击自动阻断)
- 适配场景:云原生、虚拟化、容器化,是微分段和零信任在云场景的底层网络基础
- 考点:SDN核心是控制平面与数据平面分离,集中化策略管控
🌐 4. SASE------云原生网络安全一体化
- 核心:广域网(SD-WAN)+ 安全能力(防火墙/CASB/ZTNA/DLP)完全融合,云服务方式在边缘节点交付
- 适用场景:多分支企业、全球远程办公、多云部署
- 解决的问题:传统集中式架构「用户回源总部慢、安全管控难」
- 考点:SASE = 网络+安全云化边缘交付,第十版新增考点
六、核心安全组件精讲(必考区分)
🛡️ 防火墙系列对比
包过滤防火墙
- 工作层:网络层
- 核心能力:基于源/目的IP、端口、协议过滤数据包
- 局限:无法识别应用内容,无法防护应用层攻击
状态检测防火墙
- 工作层:网络层+传输层
- 核心能力:基于连接状态过滤,只允许合法会话的数据包通过
- 局限:无法识别应用层内容和用户身份
代理防火墙(应用网关)
- 工作层:应用层
- 核心能力:代理内外网通信,隐藏内网结构,深度检测应用层内容
- 局限:性能差,适配协议有限
NGFW(下一代防火墙)
- 工作层:网络层→应用层
- 核心能力:集成状态检测+应用识别+用户身份识别+入侵防御+威胁情报+SSL解密
- 考点:当前企业边界防护的主流标准,是CISSP最高频的防火墙考点
WAF(Web应用防火墙)
- 工作层:应用层
- 核心能力:专门防护Web应用攻击(SQL注入/XSS/CSRF)
- 🚨 核心考点:Web应用层攻击必须用WAF,NGFW无法替代WAF的专业Web防护能力
🔍 IDS vs IPS(必考区分)
IDS(入侵检测系统)
- 🔹 旁路部署(镜像流量)
- 🔹 实时检测攻击行为,触发告警,不阻断攻击
- 🔹 设备故障不影响业务
- 🔹 适用:核心业务系统、对可用性要求极高的场景
IPS(入侵防御系统)
- 🔸 串联在线部署
- 🔸 实时检测攻击,可主动阻断攻击流量
- 🔸 设备故障可能导致业务中断,必须配置Bypass机制
- 🔸 适用:互联网边界、需要主动阻断的场景
核心检测方式:
- 特征匹配:基于已知攻击特征,准确率高,无法检测零日攻击
- 异常检测:基于基线行为检测异常,可检测未知攻击,误报率较高
- 行为分析:AI/机器学习分析行为,识别APT高级持续威胁
🚨 考点:IDS仅检测告警,不阻断;IPS主动阻断,是必考区分题
🔑 VPN系列对比(必考)
IPSec VPN
- 工作层:网络层
- 核心特点:端到端加密整个IP数据包,安全性极高
- 核心适用:站点到站点(总部-分支)内网互联
- 两个核心协议:AH(认证头,保障完整性防篡改) + ESP(封装安全载荷,保障机密性+完整性)
- ESP支持隧道模式 (加密整个IP包)与传输模式(只加密载荷)
SSL/TLS VPN
- 工作层:应用层
- 核心特点:无需安装专用客户端,浏览器即可访问,细粒度应用级访问控制
- 核心适用:员工远程/移动办公,仅需访问特定应用
ZTNA(零信任网络访问)
- 工作层:应用层
- 核心特点:先认证后连接,用户只看到授权的应用,隐藏网络结构,最小化攻击面
- 第十版重点推荐的远程访问方案,替代传统VPN
- 🚨 易错点:传统VPN默认授予整个内网访问权限,违背零信任原则
💡 速记:IPSec=网络层=站点互联=AH+ESP;SSL VPN=应用层=远程办公=细粒度;ZTNA=应用层=零信任=先认证后连接
七、专项场景安全架构(第十版高频出题区)
☁️ 云网络安全------责任共担是核心基础
责任边界:
IaaS:客户负责VPC虚拟网络、防火墙、路由、访问控制、流量加密的全部安全责任
PaaS:客户负责应用访问控制、API安全、数据传输加密;云厂商负责底层网络安全
SaaS:客户负责账号权限、身份认证、数据访问管控;云厂商负责平台网络安全
🚨 核心考点:无论哪种模式,数据安全和身份与访问管理的最终责任永远在客户
核心架构要求:
- 🔷 不同业务/环境(生产/测试/开发)必须部署在独立VPC中,完全隔离
- 🔷 VPC间、云与本地之间的通信必须通过加密隧道(IPSec VPN/专线),禁止明文
- 🔷 通过CASB管控用户对云服务的访问,防范影子IT、数据泄露
- 🔷 全VPC流量必须开启云流量日志,可监控可审计
🏭 OT/ICS工控系统网络安全------优先级与IT完全相反
安全优先级:可用性>完整性>保密性(与IT系统完全相反!)
- 所有安全控制不能影响工业生产的连续性和实时性
Purdue模型标准分层(必考):
- 层级0:物理过程层(传感器、执行器、工业设备)完全隔离
- 层级1:直接控制层(PLC、RTU)仅与0、2层通信
- 层级2:监控层(SCADA、HMI)仅与1、3层通信
- 层级3:生产区(MES)通过DMZ与IT网络隔离,禁止直连
- 层级3.5:ICS DMZ区,IT与OT之间的受控数据交换区
- 层级4:企业IT区,标准IT网络安全架构
核心设计要求:
- IT与OT网络必须严格隔离 ,通过单向隔离网闸实现受控数据交换
- OT网络禁止直接连接互联网
- 单向通信控制:IT→OT的访问必须通过单向网闸,禁止双向直接通信
🚨 最高频易错点:OT系统安全优先级是可用性>完整性>保密性,与IT相反
📡 无线局域网安全
加密标准:必须使用WPA3,禁用WEP和WPA(已完全被破解)
核心要求:
- 无线局域网必须与企业核心内网严格隔离,通过防火墙管控访问
- 企业级部署采用 802.1X + 企业级认证,禁止使用预共享密钥(PSK)
- 访客无线网络必须完全独立(独立VLAN + 独立互联网出口),禁止访问企业内网
- 最小化企业外的信号覆盖,防范wardriving攻击
🚨 易错点:禁用SSID广播不是有效安全防护措施------攻击者可轻松嗅探到SSID,核心防护是WPA3+802.1X
🏠 远程办公安全架构(官方推荐:ZTNA替代传统VPN)
必须做到:
- 🔐 先认证后连接:多因素认证 + 设备健康校验,才能访问授权应用
- 🔐 最小权限:仅授予工作必需的应用访问权限,不开放整个内网
- 🔐 全程加密:所有远程通信端到端加密,禁止公网明文传输
- 🔐 持续信任评估:实时监控行为+设备状态,异常立即终止会话
- 🔐 终端管控:必须符合企业安全基线,开启终端加密+EDR,禁止越狱/ROOT设备接入
八、常见攻击与架构层面防护
DDoS攻击(网络层-应用层)
- 防护:边界部署DDoS流量清洗 + 冗余带宽 + 流量限速 + CDN分流源站压力
中间人攻击(数据链路层-应用层)
- 防护:TLS/SSL端到端加密(禁用低版本)+ DNSSEC + 动态ARP检测/IP-MAC绑定 + 强身份认证
内网横向移动(网络层-应用层)
- 防护:微分段管控东西向流量 + 零信任每次访问必须验证 + 最小权限禁止服务器默认全通 + 网络流量分析检测异常横向访问
DNS攻击(应用层)
- 防护:DNSSEC保障解析真实性 + DNS防火墙过滤恶意请求 + 禁用开放递归解析 + 冗余DNS架构
SQL注入/XSS(应用层)
- 防护:WAF过滤恶意请求 + 输入验证/输出编码 + 应用数据库账号最小权限 + 定期漏洞扫描
九、6大误区纠正(考试高频错题点)
❌ 误区①:零信任就是取消网络边界,不需要防火墙了
✅ 纠正:零信任不是取消边界,而是将边界从集中式物理边界缩小到每个工作负载、每个会话;防火墙+微分段依然是核心落地组件
❌ 误区②:NGFW可以防护所有Web应用攻击,不需要单独部署WAF
✅ 纠正:NGFW的Web防护能力远不如专业WAF;SQL注入/XSS必须通过WAF实现精准防护,NGFW无法替代
❌ 误区③:内网流量是可信的,只需要防护好外网边界
✅ 纠正:官方明确70%以上的攻击来自内网横向移动,现代架构必须对东西向流量执行与外网相同的安全标准,零信任「永不信任」
❌ 误区④:VLAN分段就是微分段,能防住横向移动
✅ 纠正:VLAN是粗粒度二层分段,只能阻止跨VLAN横向移动,无法阻止VLAN内横移;微分段是工作负载级精细化隔离,二者有本质区别
❌ 误区⑤:IDS可以主动阻断攻击,和IPS功能一样
✅ 纠正:IDS旁路部署,只能检测告警,无法阻断;IPS串联部署,才能主动阻断攻击,二者部署方式和核心功能完全不同
❌ 误区⑥:OT系统和IT系统用同一套网络安全架构即可
✅ 纠正:OT系统安全优先级是可用性>完整性>保密性,与IT完全相反;必须通过Purdue模型分层隔离+单向网闸防护,禁止直接套用IT安全架构
十、跨域关联速查
→ Domain 1 安全与风险管理:网络安全架构是风险缓解的核心落地措施,依据风险评估结果,最终责任归最高管理层
→ Domain 2 资产安全:网络分段和访问控制的核心依据是资产分级分类,核心数据资产的传输加密通过网络架构落地
→ Domain 3 安全架构与工程:本知识点是Domain3安全架构在网络层面的延伸,密码学是TLS/IPSec/VPN的核心技术支撑
→ Domain 5 身份与访问管理:网络访问控制的核心是IAM,零信任架构以身份为核心,权限必须与最小权限原则对齐
→ Domain 6 安全评估与测试:网络架构安全审计、渗透测试、漏洞扫描、配置合规检查均属Domain6,验证架构有效性
→ Domain 7 安全运营:网络流量监控、日志审计、入侵检测、事件响应、威胁狩猎是Domain7的日常核心,是架构长期有效的保障
→ Domain 8 软件开发安全:API网关、WAF是Web应用/API安全的核心防护,网络安全架构与应用开发安全深度融合,实现安全左移
十一、考前速记
🔥 OSI层级+防护速记口诀
物理门禁防窃听,链路ARP要检测
网络防火墙加密,传输TLS来保障
会话ID要随机,应用WAF不能少
🔥 DMZ三大铁律
① 外网只能访问DMZ指定端口
② DMZ不能主动访问内网
③ 必须通过防火墙完全隔离
🔥 IDS vs IPS
IDS旁路→检测告警→不阻断→不影响业务
IPS串联→检测阻断→影响业务→必须配Bypass
🔥 VPN层级速记
IPSec = 网络层 = 站点互联 = AH+ESP
SSL VPN = 应用层 = 远程办公 = 细粒度
ZTNA = 应用层 = 零信任 = 先认证后连接
🔥 OT vs IT优先级(最高频易错点)
IT:保密性 > 完整性 > 可用性(CIA)
OT:可用性 > 完整性 > 保密性(AIC) ← 完全相反!
🔥 零信任核心三条
① 永不信任,始终验证
② 内网外网执行相同安全标准
③ 授权是单次会话动态决策,不是永久授权
🔥 云责任共担铁律
无论IaaS/PaaS/SaaS:数据安全+身份与访问管理的最终责任永远在客户