网络安全#

传统的网络安全模型建立在「内网等于安全」的假设上。但现代云原生环境中，容器 IP 动态变化、工作负载在多云之间迁移、内外部边界日益模糊——这个假设早已不再成立。一次内部员工的笔记本中毒，可能导致整个内网的横向渗透；一个被攻破的容器，可能成为攻击整个集群的跳板。

本专题覆盖网络安全的完整知识体系：从零信任网络架构的核心理念，到微分段的精细化隔离，再到 WAF、DDoS 防护、VPN 等传统安全设备的配置与优化，以及 DNS 安全、BGP 安全等底层协议的安全加固。

#核心内容

#零信任架构

• 网络安全概述 — 网络安全的威胁格局与防御层次
• 零信任网络架构 — ZTNA 的设计理念与部署模式
• 零信任核心原则与实施 — 五大原则与成熟度评估
• BeyondCorp 架构解析 — Google 的零信任实践

#网络隔离

• 微分段 — 工作负载级别的精细化隔离
• 微分段技术对比 — VLAN、NSX、Istio 的对比
• 网络隔离与分段 — DMZ、业务区、数据区的分层设计

#边界防护

• WAF Web应用防火墙 — WAF 的检测技术与部署模式
• WAF 规则配置与绕过防护 — ModSecurity CRS 与绕过技术
• DDoS 攻击类型与防护 — 容量型、协议型、应用层攻击
• DDoS 防护策略 — 流量清洗、黑洞路由、CDN 防护

#通信安全

• VPN 技术 — IPsec、SSL VPN、WireGuard 的对比
• IDS/IPS 入侵检测与防御 — NIDS/HIDS 的部署与规则管理
• 网络流量分析 — NetFlow、机器学习、威胁狩猎

#基础设施安全

• DNS 安全 — DNSSEC、DoH/DoT 的部署与配置
• 安全组与网络 ACL — 云安全组与 K8s NetworkPolicy
• BGP 路由安全 — RPKI、MANRS 与 BGP 劫持防护

#防御层次

flowchart TB
    subgraph Internet[互联网边界]
        A[DDoS 防护<br/>流量清洗]
        B[WAF<br/>应用层防护]
    end
    subgraph Network[网络边界]
        C[防火墙<br/>安全组]
        D[IDS/IPS<br/>流量分析]
    end
    subgraph Workload[工作负载层]
        E[微分段<br/>零信任]
        F[NetworkPolicy<br/>服务网格]
    end
    A --> B --> C --> D --> E --> F

#思考题

问题 1：传统 VPN 和零信任 VPN（ZTNA）最核心的区别是什么？为什么说 VPN 是「边界安全」时代的产物？

问题 2：WAF 的绕过技术有哪些？防御方应该如何应对？