本文章为概念部分
安全架构、角色和权限、最小权限、深度防御、安全设计,现代架构哲学(如零信任)等。我需要将这些内容翻译成中文,并为每个概念提供简化的比喻。例如,防火墙可以比作门卫,控制进出。为每个概念提供中英文对照。
整体结构
- 安全原则 (Security Principles):实体 (Entities)、角色 (Roles)、最小特权 (Least Privilege)、职责分离 (Separation of Duties)、纵深防御 (Defence in Depth)、默认安全 (Secure by Default)、安全设计 (Security by Design)
- 架构策略 (Architectural Strategy):安全设计 (What is secure design)、网络分段 (Segmentation)、网络区域 (Zones)、虚拟局域网 (VLANs)、非军事区 (DMZ)
- 现代架构理念 (Modern Architecture Philosophy):零信任架构 (Zero Trust Architecture, ZTA)
- 核心基础设施组件 (Core Infrastructure Components):交换机 (Switches)、路由器与访问控制列表 (Routers & ACLs)、服务器 (Servers)、负载均衡器 (Load Balancers)
- 网络安全设备 (Network Security Devices):防火墙 (Firewalls)、代理 (Proxies)、入侵检测/防御系统 (IDS/IPS)
- 端点与软件安全 (Endpoint & Software Security):DNS 过滤 (DNS Filtering)、文件完整性监控 (File Integrity Monitoring, FIM)、端点检测与响应 (EDR)、扩展检测与响应 (XDR)
- 访问技术 (Access Technologies):虚拟专用网络 (VPN)、网络访问控制 (NAC)
基本概念列表
| English Term | 中文翻译 |
|---|---|
| Entity | 实体 |
| Role | 角色 |
| Least Privilege | 最小特权 |
| Separation of Duties | 职责分离 |
| Defence in Depth | 纵深防御 |
| Secure by Default | 默认安全 |
| Security by Design | 安全设计 |
| Segmentation | 分段 |
| Zone | 区域 |
| VLAN (Virtual LAN) | 虚拟局域网 |
| DMZ (Demilitarized Zone) | 非军事区 |
| Zero Trust Architecture (ZTA) | 零信任架构 |
| Switch | 交换机 |
| Router | 路由器 |
| ACL (Access Control List) | 访问控制列表 |
| Server | 服务器 |
| Load Balancer | 负载均衡器 |
| Firewall | 防火墙 |
| Proxy | 代理 |
| IDS/IPS (Intrusion Detection/Prevention) | 入侵检测/防御系统 |
| Honeypot | 蜜罐 |
| DNS Filtering | DNS 过滤 |
| File Integrity Monitoring (FIM) | 文件完整性监控 |
| EDR/XDR | 端点检测与响应/扩展检测与响应 |
| VPN (Virtual Private Network) | 虚拟专用网络 |
| NAC (Network Access Control) | 网络访问控制 |
概念解析与比喻
-
Entity (实体)
- 解释:网络中的任何参与者——计算机、程序、用户、网络设备等。
- 比喻:“城堡里的居民和工具”,每个“居民/工具”都是一个实体,承担不同职责。
-
Role (角色)
- 解释:实体在系统中的职责或功能,比如管理员、访客、服务进程等。
- 比喻:“剧团里的演员角色”,同一个人(实体)可能随剧本需要扮演不同角色。
-
Least Privilege (最小特权)
- 解释:只授予实体完成其任务所必需的最低权限。
- 比喻:“只给剪纸师一把剪刀,不给他大锤”,避免误用或滥用。
-
Separation of Duties (职责分离)
- 解释:将关键任务拆分给不同实体,以防单点失误或滥用。
- 比喻:“银行大堂里一个人负责点钞,另一个人负责装袋”,互相制衡。
-
Defence in Depth (纵深防御)
- 解释:构建多层防护(如城堡的壕沟、城墙、箭塔)以增强整体安全。
- 比喻:“洋葱的多重外皮”,一层被突破还有下一层保护。
-
Secure by Default (默认安全)
- 解释:系统出厂或部署时采用最安全的配置,用户需特意放宽。
- 比喻:“新买的保险箱默认上锁”,方便安全。
-
Security by Design (安全设计)
- 解释:在系统设计之初即将安全需求纳入,而非事后附加。
- 比喻:“在建房时就埋好防潮层”,而不是完工后再贴防潮膜。
-
Segmentation (分段)
- 解释:将网络划分为多个区域,限制流量路径。
- 比喻:“大楼内不同楼层用防火墙门隔开”,火灾蔓延受限。
-
Zone (区域)
- 解释:网络中安全级别不同的分区,如内部网、DMZ、访客网。
- 比喻:“游乐园里的 VIP 区、普通区域和员工后台”,有不同通行规则。
-
VLAN (虚拟局域网)
- 解释:在物理网络上逻辑隔离设备,即使它们插在不同交换机上也可同组通信。
- 比喻:“把不同桌子的人画上同颜色的牌,只让同色牌的人一起讨论”。
-
DMZ (非军事区)
- 解释:受信任内网与公网上的缓冲区,允许外部访问但隔离核心网络。
- 比喻:“机场的候机室”,外来旅客只能在此等候,进不了航站楼内部。
-
Zero Trust Architecture (零信任架构, ZTA)
- 解释:不假定任何网络内外部实体可信,所有访问均需验证和授权。
- 比喻:“警察局门口人人都要验身份证”,无一例外。
-
Switch (交换机)
- 解释:在局域网内部根据 MAC 地址转发帧,支持端口安全防止 MAC 泛洪。
- 比喻:“酒店前台根据房卡号引领客人到对应客房”,而不是广播到所有房间。
-
Router (路由器)
- 解释:在不同子网间转发数据包,并可用 ACL 过滤流量、提供反欺骗防护。
- 比喻:“城市中的交通指挥中心”,根据目的地引导车辆,不让可疑车进入。
-
ACL (Access Control List, 访问控制列表)
- 解释:路由器/交换机上的一组规则,决定允许或拒绝哪些流量。
- 比喻:“门卫对照名单决定谁能进大楼”,名单外的一律拦下。
-
Server (服务器)
- 解释:为网络设备或用户提供资源和服务,需要打补丁、去除多余软件、控制访问。
- 比喻:“餐厅的厨房”,要保持清洁、管理好出入人员、定期检查食材安全。
-
Load Balancer (负载均衡器)
- 解释:将请求分散到多台服务器上,提高可用性,并可检测并阻断攻击流量。
- 比喻:“快餐店的收银分流”,多条队伍同时服务,避免某一队伍过长。
-
Firewall (防火墙)
- 解释:对进出网络的数据包按规则检查、允许或拒绝;分硬件/软件、状态/无状态等。
- 比喻:“城墙与城门的守卫”,检查来往人员,决定是否放行。
-
Proxy (代理)
- 解释:代表客户端(正向代理)或服务器(反向代理)中转请求,可缓存、过滤、隐藏真实地址。
- 比喻:“翻译官”,帮双方互传信息,同时屏蔽不必要的细节。
-
IDS/IPS (入侵检测/防御系统)
- 解释:IDS 监测攻击并报警,IPS 在数据流中实时拦截;可部署在网络或主机端。
- 比喻:“红外线报警器 (IDS) + 自动喷水灭火系统 (IPS)”,先报再灭。
-
Honeypot (蜜罐)
- 解释:故意暴露的易攻陷系统,用以吸引攻击者,观察其行为并误导。
- 比喻:“诱捕狐狸的假鸡舍”,狐狸进去了就被监控。
-
DNS Filtering (DNS 过滤)
- 解释:在域名解析层面拦截恶意或不当域名,防止访问危险站点。
- 比喻:“电话白名单服务”,不拨黑名单号码。
-
File Integrity Monitoring (FIM, 文件完整性监控)
- 解释:监测关键文件有没有被篡改或删除,发现异常即时告警。
- 比喻:“离家时拍照存档家具摆放,下次回来比对是否被移动”。
-
EDR/XDR (端点检测与响应 / 扩展检测与响应)
- 解释:EDR 聚焦单机监控,XDR 跨多种安全设备关联分析,更全面。
- 比喻:“单点摄像头 (EDR) vs 全园区联动监控 (XDR)”,视野更广。
-
VPN (虚拟专用网络)
- 解释:在公网上创建加密隧道,将远程用户或分支机构安全接入私有网络。
- 比喻:“密闭管道运输机密文件”,外人看不到也截不住。
-
NAC (网络访问控制)
- 解释:根据终端安全状态(补丁、杀毒等)决定其是否允许加入网络或仅限隔离区。
- 比喻:“夜总会门口查验着装才可入内”,不合格的只能等候区。
扫一扫
5453
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
