网络攻防学习笔记 Day118

新技术新业务发展挑战：互联网接入风险增加、网络出口边界增多、广域网结构复杂。

企业级网络纵深防御是结合企业网络基础设施的现代化改造，基于面向失效的设计和能力导向的设计的总体思想，通过网络流量可视化、网络隔离细粒度化、场景覆盖全面化、网络防御纵深化、安全集群标准化、策略管理自动化等关键技术，采用集约化模式来构建多层次、协同联动的网络纵深防御体系。

网络流量可视化是支撑网络纵深防御的重要基础。看得清流量，方能识得准威胁，部得全能力，配得严策略，挡得住风险；通过在网络各节点部署流量分析措施，可实现全局网络流量数据的捕获、解密、处理和按需输出，统一支撑网络资产发现、网络安全威胁分析、网络行为审计、数据泄露检测等工作的开展。

梳理被保护资产的访问关系信息，将其作为网络纵深防御设计时安全能力设计的重要信息输入。访问关系包括用户业务访问、运维管理访问、系统内交互、系统间交互等。梳理方式包括网络流量分析、人工访谈等。

安全域是网络中具有相同的暴露位置、安全威胁、功能架构、信任范围的资产组合。同一安全域内的资产将作为一个整体来处理，它们相互信任，共用安全防护措施。安全域划分就是从安全角度将网络资产划分成不同的区域，开展针对性的隔离防护，收缩网络攻击面，限制网络威胁的影响范围，避免牵一发而动全身。

安全 SD-WAN（软件定义广域网）为多分支机构、数据中心互联、混合云等场景的用户提供广域安全组网方案，可以解决网络运维成本高、广域组网复杂等问题，实现灵活便捷、按需定制的网络连接，提供弹性扩展的安全防护能力，提升业务体验，保障业务安全，降低 TCO（总体拥有成本）。

在基于 SD-NGFW 的网络安全防护集群中，通过流量编排，将流量复制给网络流量分析设备；在传统环境下，通过流量镜像、链路分光等方式，捕获网络流量，经过分路器聚合处理后，按需分发至各类网络流量分析设备。