Chapter 4
第4章
网络边界安全

以IP为边界是网络安全纵深防御关键手段。网络边界安全主要是指由网络设备组成的通信安全，是传统意义上的网络连接安全。随着云计算的大发展，政企正在从内网有清晰边界的模式走向混合云这种模糊边界的模式。数字化推动了云上和云下资产数量的增加，并与更多的上下游合作伙伴相连接，比如金融行业中的银行、理财、证券、互联网金融等通过业务互通、技术互通、场景互通等方式相互连接。因此，一个金融系统的安全问题可能会波及相关系统，我们需要从更广泛的防御角度考虑安全性。

古代的君王保护子民的安全首先是建立城墙将城内外分割开来，然后在城墙上修建城门作为检查关卡，监控进出人员与车马，甚至城王府和民居之间还要有院墙。同样，网络安全也采用了类似方法：通过构建各种检查关卡，形成纵深防御。

网络边界是指组织内部核心业务区域和互联网攻击者（或者任何其他未受控制的外部网络）之间的边界。如图4-1所示，互联网暴露层、网络边界层、边界设备互通层和内网核心层之间都有边界，一次成功的攻击需要层层突破。换句话说，网络边界指的是政企控制范围的边缘。例如，一个小型政企有一个内部机房，连接了一个服务器、几十台员工台式计算机、几台打印机，以及路由器和交换机等设备。如果员工将个人笔记本带进酒店，笔记本在网络边界外；如果将它连接到内部机房，笔记本在网络边界内。

本章以典型的金融机构混合云为例，介绍了网络设备和安全设备的配置和协同，包括域名系统（DNS）、证书（SSL）、路由器（Router）、交换机（Swtich）、防火墙（Firewall，FW）、统一威胁管理（Unified Threat Management，UTM）、入侵检测系统（Intrusion Detection System，IDS）、入侵防御系统（Intrusion Prevention System，IPS）、虚拟专有网络（Virtual Private Network，VPN）、无线（Wi-Fi）等。同时，如果使用了公有云，还可能涉及一些特定厂商的网络安全产品和服务，例如抗DDoS、SLB等。本章覆盖的网络安全设备如图4-2所示。