内容提要

在传统的网络安全架构中，网络边界是网络攻防的前线。防火墙、IPS、Anti-DDoS、安全沙箱等网络安全产品在网络安全防御活动中扮演着重要的角色。本书以 HCIP-Security 和HCIE-Security 认证考试大纲为依托，介绍常见的网络安全防御技术，包括用户管理、加密流量检测、内容过滤、入侵防御、反病毒、DDoS攻击防范和安全沙箱。通过介绍技术的产生背景、实现原理和配置方法，帮助读者掌握网络安全防御技术与实践。

本书是学习和了解网络安全防御技术的实用指南，内容全面、通俗易懂、实用性强，适合网络规划工程师、网络技术支持工程师、网络管理员以及网络安全相关专业的师生阅读。

华为网络安全技术与实践系列丛书编委会

主　任

胡克文　华为数据通信产品线总裁

副主任

刘少伟　华为欧洲研究院院长

马　烨　华为安全产品领域总裁

吴局业　华为数据通信产品线研发部总裁

孙　刚　华为企业BG人才伙伴发展部部长

委　员

段俊杰　　顾　滢　　金　席　　孟文君

宋新超　　苏崇俊　　王　峰　　王任栋

王振华　　魏　彪　　于　颀

推荐序一

当今世界正处于百年未有之大变局，科技发展的主导权、世界经济结构、国际地缘政治以及社会文明治理体系都在发生深刻的变化。而网络空间在这场大变局中，扮演着举足轻重的角色。进一步地，网络安全能力成为国家竞争实力的重要体现。从《中华人民共和国网络安全法》到《中华人民共和国密码法》，再到《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》，我国在近十年内颁布了一系列与网络安全相关的法律、法规和政策，推动了从政府部门到关键信息基础设施管理方乃至个人对网络安全的重视。

从技术角度来讲，网络安全事件存在于信息系统及其应用的不同层面，从物理层到代码层，从数据层到应用层，每个层面都可能出现网络安全事件，从而导致不良的后果。

在物理层，针对信息系统的物理载体，从能量对抗的角度出发，攻击者可通过电磁干扰、物理破坏、资源耗尽、环境（包括能源）破坏等诸多方式，使信息系统瘫痪，以达到中断信息系统服务的目的。

在代码层，针对信息系统及其应用，从代码对抗的角度出发，攻击者可利用安全漏洞、社会工程、拒绝服务攻击等手段，获取信息系统的控制权以及相应的数据，或者阻断系统的服务，从而损害业务连续性。在代码的供应链环节，开源软件的安全不可忽视，曾经发生过攻击者通过向开源社区提交“带毒”源代码，让开发者在不知情的情况下应用到系统软件中，从而实现潜伏攻击的事件。

在数据层，针对用户数据等敏感信息，从算法对抗的角度出发，攻击者不仅可以通过APT手段进行数据窃取，也可以通过数据截取的方式破解加密数据，还可以通过加密用户数据的方式进行“勒索”，甚至可以通过直接擦除数据的方式销毁数据。

在应用层，针对具体的系统应用服务，例如内容服务，从认知对抗的角度出发，攻击者不仅可以对应用进行破坏性攻击，还可以通过互联网应用散布虚假消息，影响网民的认知，从而左右舆论导向。

网络安全事件会从多个维度影响国计民生，网络安全技术需要不断演进，夯实基础能力，从而实现网络安全防御。常规的网络安全防御模式分为自卫模式与护卫模式两类，前者依靠强化自身安全以自卫，后者依靠外部协助防御来护卫。护卫模式的本质在于具备攻击感知能力、攻击研判能力以及攻击阻截能力。可以说，感知是基础，研判是核心，阻截是根本，自卫是底线。

华为作为全球领先的ICT基础设施供应商，基于对ICT的理解、对网络安全技术的认识，通过业界知名的网络安全红线能力要求，为其ICT产品构建了自卫能力。而对于网络空间安全能力的构建，则更聚焦于探索面向外置系统保护的护卫模式。“华为网络安全技术与实践系列”汇集了华为丰富的实践经验，内容适合企业高端管理者、安全工程技术人员和网络安全专业的学生阅读。未来希望政府、企业、高校和科研院所等多方能够共同协作，打造我国网络安全的保护盾。