【信息科学与工程学】【安全领域】 第八十八篇 网络空间安全18

9871

网络边界安全/内部威胁

防火墙对“南北向”与“东西向”流量的策略失衡：传统防火墙通常专注于保护网络边界（南北向流量），但对数据中心或云环境内部的服务器间（东西向）流量监控不足。一旦攻击者突破边界，缺乏内部微分段策略会使其在内部网络中横向移动畅通无阻，导致“一家失火，全楼遭殃”。

1.实施网络微分段：放弃单一的、庞大的“信任内部网络”模型。基于业务逻辑、应用层级或数据敏感性，将内部网络划分为多个细粒度的安全区域或段（如Web层、应用层、数据库层）。在每一段的边界（物理的或逻辑的）部署防火墙或利用具有安全策略的虚拟网络、软件定义网络（SDN）实施访问控制。
2.启用并严格配置东西向策略：在现代防火墙、下一代防火墙或云安全组上，创建明确的、基于最小权限原则的东西向流量规则。例如，只允许Web服务器IP段访问应用服务器的特定端口（如8080），只允许应用服务器访