CISSP 域4知识点 网络组件安全

CISSP 备考精华 | 域4 网络组件安全 全拆解Domain 4 通信与网络安全 · 核心组件篇对应 OSG 第十版 第10章《Secure Network Architecture and Components》占 Domain 413%总权重的约 30%概念题场景题超高频⚠️ 底层红线6条任何场景不可突破❶ 所有网络组件必须遵循默认拒绝、最小权限、最小攻击面三大原则禁用全部非必需的服务、端口、协议与账号❷ 网络组件安全的最终责任由企业最高管理层承担不可通过厂商维保、外包托管转移❸ 官方强制推荐带外管理OOB模式禁止通过业务网络对核心组件进行无加密的带内管理❹ 组件的配置变更必须遵循正式变更管理流程禁止未经审批的配置修改变更后必须重新验证安全合规性❺ 所有组件操作必须全程留痕审计日志不可篡改、不可删除留存时长满足合规最低要求❻ 安全管控必须覆盖全生命周期选型→部署→运维→变更→退役销毁无管控断点 官方数据超过60% 的网络安全事件根源是组件默认不安全配置、未修复漏洞、弱管控而非复杂零日攻击 核心术语速查9个网络组件Network Components构成企业网络的所有硬件、软件、虚拟化网络功能的统称包括交换机、路由器、防火墙、无线AP、DNS服务器、负载均衡器、IDS/IPS、SDN控制器等固件Firmware网络组件内置的底层控制软件固件漏洞与供应链植入是组件安全的最高风险来源安全基线Security Baseline针对一类组件制定的标准化最低安全配置模板是规模化组件安全管控的核心基础带内管理In-Band Management通过业务网络对组件管理管理流量与业务流量共享网络通道易被窃听篡改安全风险极高带外管理Out-of-Band Management, OOB通过物理隔离的专用管理网络进行组件管理与业务流量完全隔离是(ISC)² 官方唯一推荐的管理模式动态中继协议DTP思科交换机默认启用自动协商Trunk模式是VLAN跳跃攻击的核心利用点官方要求必须全局禁用网络访问控制NAC对接入网络的终端进行身份认证与安全状态校验仅符合安全基线的设备才能接入网络网络功能虚拟化NFV将传统硬件组件功能虚拟化以软件形式运行在虚拟化平台是云原生网络的核心组件形态SDN控制器SDN的核心大脑集中管控全网路由决策与安全策略一旦被控制全网将完全失控是SDN安全防护的最高优先级目标 模块1通用安全原则全组件适用8条所有网络组件安全管控的通用基础是场景题判断配置是否合规的核心依据① 最小安装与最小攻击面原则仅启用业务必需的功能、服务、端口与协议卸载/禁用所有非必需的默认服务与管理端口场景题考点出现启用默认服务、开放非必需端口的选项均为错误答案② 默认拒绝原则访问控制与流量转发默认拒绝所有请求仅开放明确授权的规则与权限禁止默认允许、仅封禁违规的配置必考概念题所有默认允许访问、全通规则配置均为错误答案③ 最小权限原则管理账号、进程、服务仅授予完成工作必需的最小权限禁止使用管理员账号执行普通运维操作全体系最高频考点过度授权、使用超级管理员账号执行日常操作均为错误答案④ 安全基线标准化原则所有同类型组件必须遵循统一安全基线配置禁止无标准的个性化配置 安全基线是最低安全标准是规模化管控的核心基础⑤ 带外管理优先原则核心组件必须通过物理隔离的带外管理网络管理禁止通过业务网络进行明文带内管理管理协议必须加密禁用 Telnet、HTTP 等明文协议必考核心考点明文带内管理、Telnet管理的选项均为错误答案⑥ 全生命周期安全原则安全管控覆盖选型、采购、部署、运维、变更到退役销毁的全流程核心是安全左移与供应链安全管控第十版重点强化供应链安全必须前置到选型采购阶段⑦ 全程可审计原则所有管理操作、配置变更、异常流量必须记录不可篡改的审计日志备份到独立日志服务器留存时长满足合规要求 无日志、日志本地存储、可篡改的配置均为错误答案⑧ 纵深防御原则构建物理隔离访问控制加密认证入侵检测行为审计的多层防护单点失效不导致整体失控 场景题中仅依赖单一密码防护的设计均为错误答案 模块2核心组件专项安全要求 交换机Switch核心定位数据链路层核心组件是内网横向移动的核心跳板也是内网安全的第一道防线核心风险VLAN跳跃、ARP欺骗、MAC欺骗、CAM表溢出、STP欺骗、未授权端口接入官方必考加固要求️端口安全启用端口安全功能限制每端口最大 MAC 地址数违规自动关闭端口并告警️VLAN 防护高频必考全局禁用动态中继协议DTP非中继端口强制设置为接入模式Access Mode未使用端口必须关闭放入专用未使用 VLAN禁止放入默认 VLAN 1中继端口限制允许通过的 VLAN 范围禁止全 VLAN 放行管理 VLAN 必须与业务 VLAN 完全隔离️二层攻击防护启用**动态 ARP 检测DAI**防范 ARP 欺骗启用 **IP 源防护IPSG**防范 IP 地址欺骗启用 BPDU 保护、根保护防范生成树欺骗️管理安全禁用 HTTP、Telnet仅启用 HTTPS、SSH通过带外管理网络访问管理界面️禁用非必需功能CDP/LLDP非必需场景、TFTP、源路由等不安全功能全部禁用⚡考试速记VLAN 跳跃 禁 DTP 接入模式 封未用端口 限 VLAN 范围ARP 欺骗 DAIIP 欺骗 IPSG 路由器Router核心定位网络层核心组件内外网/不同安全区域之间的边界转发节点核心风险路由劫持、路由欺骗、IP地址欺骗、ICMP重定向、DDoS、路由表篡改官方必考加固要求️路由安全启用路由协议认证OSPF/BGP 的 MD5/HMAC 认证防范路由欺骗与劫持️反地址欺骗启用uRPF单播反向路径转发校验源 IP 地址合法性阻断 IP 欺骗遵循 RFC 2827 过滤内网专用地址、保留地址的入站/出站流量️协议管控禁用 ICMP 重定向、源路由、IP 选项等不安全功能限制 ICMP 流量速率️ACL 访问控制严格管控跨网段流量仅放行业务必需流量遵循默认拒绝原则禁止全通规则️管理安全禁用明文协议通过带外管理网络管理严格限制管理 IP 范围启用多因素认证与分级权限⚡考试速记uRPF 防 IP 欺骗路由协议认证 防路由劫持默认拒绝 ACL 核心原则 防火墙Firewall核心定位网络边界与区域隔离的核心安全组件纵深防御体系的核心环节核心风险规则配置错误、全通规则滥用、默认允许、固件漏洞、SSL加密流量无法检测官方必考加固要求️规则核心原则严格遵循默认拒绝所有规则必须明确源/目的 IP、端口、协议禁止 “any any” 全通规则规则按最严格→最宽松排序定期清理冗余规则️部署与隔离防火墙必须串行在线部署禁止旁路部署DMZ、内网、外网必须通过防火墙不同接口完全隔离禁止直连️功能安全启用状态检测仅允许合法会话返回流量通过对 SSL 加密流量进行合法解密检测防范加密隧道攻击️管理安全绝对禁止通过外网接口管理防火墙仅通过带外管理网络访问禁用明文管理协议变更必须遵循变更管理流程️高可用与日志配置双机热备所有流量命中、规则匹配、配置变更必须记录完整日志同步到独立日志服务器⚡必考易错点防火墙管理界面绝对不能开放到外网DMZ 服务器不能主动访问内网 IDS / IPS核心区别必考区分题IDS入侵检测系统旁路镜像部署不影响业务仅检测告警不阻断攻击设备故障不影响业务连续性适用对可用性要求极高的核心业务场景IPS入侵防御系统串行在线部署必须配置硬件 Bypass 机制避免故障导致业务中断实时检测并主动阻断攻击适用互联网边界、需主动阻断的场景官方核心安全要求规则库至少每周更新高危漏洞特征必须实时更新结合特征匹配异常行为检测威胁情报覆盖已知与未知攻击高危告警必须实时通知安全运维人员管理界面通过带外管理网络访问⚡考试速记IDS 旁路 仅告警IPS 串联 主动阻断 必须有 Bypass 无线 AP / 无线控制器AC核心风险弱加密协议、未授权接入、Rogue AP、无线信号泄漏、战争驾驶War Driving官方必考安全要求️加密与认证必须使用WPA3官方唯一推荐彻底禁用 WEP、WPA已被完全破解企业级部署必须使用802.1X EAP认证体系禁止使用预共享密钥PSK️射频管控调整 AP 发射功率最小化企业外的信号覆盖禁用 SSID 广播不是有效安全措施仅可作辅助手段启用 NAC 控制接入️网络隔离无线网络必须与企业核心内网完全隔离访客无线网络必须与企业内网完全隔离独立互联网出口禁止访问任何内网资源️Rogue AP 检测启用非法 AP 检测定期扫描环境发现未授权 AP 立即告警并阻断️组件管理AC 通过带外管理网络管理定期更新 AP/AC 固件禁用明文管理协议⚡必考易错点禁用 SSID 广播、MAC 地址绑定 ≠ 有效安全防护无法抵御专业攻击 DNS 服务器核心风险DNS 缓存投毒、DNS 劫持、DNS 隧道攻击、DDoS、区域传输泄露官方必考安全要求️解析安全启用DNSSECDNS 安全扩展通过数字签名保障解析结果真实性与完整性防范缓存投毒与劫持禁用开放递归解析仅为授权内网网段提供递归解析️架构隔离权威 DNS 与递归 DNS 必须分离部署禁止同一台服务器承担两种角色权威 DNS 部署在 DMZ递归 DNS 部署在内网禁止直接暴露在公网️区域传输管控严格限制区域传输范围仅允许授权从 DNS 服务器进行区域传输禁止向任意 IP 开放区域传输防止域名信息泄露️流量防护启用 DNS 限速、异常查询检测防范 DNS DDoS 与隧道攻击完整记录 DNS 查询日志用于攻击溯源⚡考试速记DNSSEC 防缓存投毒劫持权威/递归必须分离禁止开放递归解析⚖️ 负载均衡器官方核心安全要求️安全卸载启用 SSL/TLS 卸载集中管理证书强制使用TLS 1.2 以上禁用低版本协议与弱加密套件集成 WAF 功能阻断应用层攻击️访问控制严格限制管理界面访问仅带外管理网段可访问启用多因素认证与分级权限️高可用与防护配置双机集群启用异常流量检测与流量限速防范 DDoS禁用不必要的管理端口与服务️证书管理建立 SSL 证书全生命周期管理定期更新禁止生产环境使用自签名证书⚡易错点负载均衡器 ≠ WAF不能替代 WAF 的专业 Web 防护能力 代理服务器 / 反向代理官方核心安全要求正向代理作为内网用户访问外网的唯一出口禁止用户绕过代理直接访问外网启用用户身份认证、网站访问管控、内容过滤完整记录访问日志禁用匿名代理与隧道代理功能反向代理作为 Web 服务器的唯一公网入口隐藏内网服务器 IP 地址与架构启用 SSL/TLS 加密、WAF 防护、DDoS 防护严格限制反向代理到后端服务器的访问范围通用要求代理服务器部署在 DMZ禁用明文管理协议所有访问操作记录完整日志⚡考试速记反向代理 隐藏内网架构 公网入口防护正向代理 内网用户外网出口管控☁️ SDN / NFV 虚拟化组件第十版重点强化官方核心安全要求️SDN 控制器安全控制器必须部署在带外管理网络与业务网络完全隔离启用多因素认证与加密管理控制器与转发设备之间的通信必须全程加密防止被劫持️虚拟化组件基线虚拟防火墙、虚拟路由器等必须遵循与硬件组件相同的安全基线不可因是虚拟化就降低标准不同安全等级的虚拟网络功能必须部署在隔离的虚拟化主机上️策略管控SDN 集中化策略下发必须经过严格审批与校验防止错误策略导致全网失控定期审计全网策略合规性️东西向流量通过微分段实现虚拟工作负载之间的精细化访问控制防范虚拟化环境横向移动⚡必考核心SDN 控制器 全网最高风险点必须严格隔离虚拟组件安全基线 ≥ 硬件组件 模块3全生命周期安全管理第十版重点强化 选型与采购阶段供应商安全评估前置验证厂商安全开发能力、漏洞响应机制、供应链安全管控能力 校验组件固件数字签名防范恶意固件与供应链植入 评估安全漏洞历史与官方支持周期禁止采购已停止官方维护的组件 合同明确厂商的安全漏洞修复责任与安全支持义务第十版重点考点供应链安全必须前置到选型阶段而非采购后再评估 部署与上线阶段 基于官方安全基线完成组件全量加固禁用默认账号、非必需服务与端口 修改所有默认密码配置强密码策略与多因素认证 完成漏洞扫描与配置合规审计修复所有高危漏洞 配置日志审计规则同步到企业统一日志服务器 上线前完成功能与安全测试验证防护规则有效性必考场景题组件上线前必须完成安全基线加固与漏洞修复未通过安全校验禁止上线 运维与运营阶段生命周期主体补丁管理闭环定期跟踪厂商安全公告测试后及时安装补丁高危漏洞必须优先紧急修复定期配置审计至少每季度一次安全基线审计修复不合规配置清理冗余规则持续监控告警实时监控运行状态、异常流量、登录行为、配置变更高危事件实时告警定期漏洞扫描至少每月一次及时修复安全漏洞密钥与证书轮换定期轮换加密密钥与 SSL 证书避免密钥泄露与证书过期高频考点补丁管理必须先测试环境验证再部署到生产高危漏洞优先修复 变更与升级阶段 变更前开展安全风险评估制定变更方案与回滚计划 变更必须经过正式审批先在测试环境验证 变更后必须重新开展安全合规审计验证配置安全性 变更全流程记录审计日志留存变更文档必考场景题禁止未经审批的配置修改变更后必须重新验证合规性️ 退役与销毁阶段 移除组件接入的所有网络线路从网络架构中移除相关配置彻底清除配置文件、管理员账号、密钥、日志等所有敏感数据报废存储介质必须物理销毁或彻底清除数据防止信息泄露 完成退役全流程审计归档相关文档与记录高频场景题退役组件必须彻底清除敏感数据存储介质执行物理销毁 模块4专项场景☁️ 云环境网络组件责任共担边界☁️云厂商负责云基础设施、虚拟网络底层的安全客户负责云网络组件的安全配置、规则管理、访问控制、日志审计⚠️配置错误导致的安全事件责任完全由客户承担核心要求不同业务、不同环境生产/测试/开发必须部署在独立 VPC实现完全隔离VPC 路由表、安全组、网络 ACL 必须遵循默认拒绝原则客户必须负责云原生防火墙、安全组的规则配置安全 OT / ICS 工控网络组件安全优先级必考易错点OT 工控系统可用性 完整性 保密性AIC 顺序IT 网络系统保密性 完整性 可用性CIA 顺序⚠️ 这是 CISSP 最高频易错点必须牢记核心要求 工控组件与 IT 网络必须严格隔离通过单向隔离网闸实现数据交换禁止双向直连禁止直接连接互联网补丁管理特例工控组件补丁必须先在离线测试环境完成全面测试在生产停机窗口期部署禁止在线直接打补丁防止影响生产运行 协议管控仅使用工控专用协议禁用通用 TCP/IP 协议、不必要的服务与端口 管理安全通过专用带外管理网络管理禁止通过 IT 网络管理禁用无线功能、发现协议等 模块5常见攻击与防护措施① VLAN 跳跃攻击目标突破 VLAN 隔离访问其他 VLAN 敏感资源防护全局禁用 DTP 动态中继协议非中继端口强制设置为接入模式未使用端口关闭并放入专用未使用 VLAN中继端口限制允许通过的 VLAN 范围② ARP 欺骗 / 中毒目标二层交换机实施中间人攻击窃听/篡改内网流量防护启用动态 ARP 检测DAI配置静态 IP-MAC 绑定端口安全限制单端口 MAC 地址数量③ DNS 缓存投毒 / 劫持目标DNS 服务器将用户解析到恶意站点防护启用 DNSSEC 保障解析结果真实性禁用开放递归解析限制区域传输授权范围④ 路由劫持 / 欺骗目标路由器篡改路由表将流量劫持到恶意网络防护启用路由协议加密认证启用 uRPF 反向路径转发定期审计路由表合规性⑤ 固件漏洞 / 供应链植入目标全类型组件获取控制权长期潜伏窃密防护采购前开展供应商安全评估校验固件官方数字签名拒绝未签名固件及时安装厂商安全补丁定期扫描组件异常行为⑥ 管理权限泄露目标全类型组件获取管理员权限防护禁用明文管理协议仅启用加密管理通过带外管理网络访问管理界面禁止公网开放管理端口启用多因素认证与强密码策略分级权限管理 完整操作审计日志❌ 6 大官方误区纠正误区1带内管理和带外管理没区别用业务网络管更方便✅ 纠正带内管理流量与业务流量共用网络攻击者突破业务网络后即可攻击管理界面OOB 带外管理是官方唯一合规方式明文带内管理是严重安全违规误区2设置了强密码组件就足够安全了✅ 纠正强密码只是一层防护攻击者可通过固件漏洞、默认服务、明文协议等多种方式突破必须遵循纵深防御构建多层防护体系误区3禁 SSID 广播 MAC 地址绑定可以替代 WPA3 加密✅ 纠正SSID 广播禁用和 MAC 绑定仅能轻度隐匿攻击者可轻松嗅探 SSID、伪造 MAC无线安全核心是WPA3 802.1X 企业级认证误区4OT 工控组件和 IT 组件用同一套安全基线及时打补丁是最高优先级✅ 纠正OT 组件安全优先级是可用性优先补丁必须先离线测试、在停机窗口期部署禁止直接套用 IT 安全基线OT 网络必须与 IT 严格隔离误区5防火墙规则越宽松业务越稳定全通规则没有安全风险✅ 纠正全通规则会完全打破网络边界隔离攻击者可无限制访问内网资源防火墙核心逻辑是默认拒绝禁止 “any any” 规则误区6云网络组件的安全由云厂商负责客户不需要做安全配置✅ 纠正云安全遵循责任共担模型客户必须负责云网络组件的安全配置、规则管理、访问控制与日志审计配置错误的安全事件责任完全由客户承担 跨域关联域1 安全与风险管理组件安全基线的依据是风险评估结果最终责任由最高管理层承担域2 资产安全网络组件本身是核心资产资产分级决定组件防护强度域3 安全架构与工程本知识点是安全架构设计在组件层面的落地执行域4 网络架构安全网络架构是顶层设计网络组件安全是底层落地载体二者共同构成完整体系域5 身份与访问管理组件账号管理、分级权限、多因素认证是 IAM 体系的重要组成部分域6 安全评估与测试组件漏洞扫描、配置合规审计、渗透测试用于验证防护有效性域7 安全运营补丁管理、日志监控、告警响应、变更管理是安全运营的核心日常工作域8 软件开发安全WAF、反向代理、负载均衡器是应用安全的前置防护环节⚡ 考前速记7 块【带外管理铁律】OOB 管理网络物理隔离 加密协议SSH/HTTPS 多因素认证禁 Telnet 禁 HTTP 禁公网开放管理端口【交换机 VLAN 防护三板斧】禁 DTP → 接入模式 → 未用端口封放专用 VLAN【IDS vs IPS 速记】IDS 旁路 只看不打IPS 串联 主动阻断 必须有 Bypass【DNS 安全三要点】DNSSEC 防投毒 → 权威/递归分离 → 禁止开放递归解析【OT vs IT 优先级】OTAIC可用性完整性保密性ITCIA保密性完整性可用性【云责任铁律】配置 客户责任底层基础设施 云厂商责任配置错误的锅 客户自负【全生命周期安全六步】选型供应商评估 → 上线基线加固 → 运维补丁审计 → 变更先审批后执行 → 退役彻底清除 → 销毁物理粉碎