一张图可能毁掉整个系统
公司新上马的项目刚上线三天,核心数据库就被攻破。事后排查发现,攻击路径居然来自一个本该隔离的测试子网。翻出当初的网络设计文档一看,拓扑图里那个本该加防火墙的位置,只潦草地画了条虚线,备注写着‘后续补充’。这已经不是设计不美观的问题,而是典型的风险漏洞。
文档不是画给领导看的装饰品
很多团队把网络设计文档当成应付验收的材料,拓扑图画得漂亮,设备型号标得整齐,但关键细节却含糊其辞。比如某电商公司的内网划分,文档里写着‘按业务隔离’,可具体怎么隔离?VLAN 怎么分?ACL 规则有没有?全都没写。等到被横向渗透时才发现,财务系统的服务器和前台 Web 服务竟然在同一个广播域里。
真正的风险评估要盯住这些地方:访问控制策略是否明确标注?默认路由指向有没有说明?无线访客网络是否与内网物理或逻辑隔离?哪怕是一个接口的IP地址分配失误,都可能成为突破口。
版本混乱比没有文档更危险
运维老张手上有三份‘最新版’网络设计文档,分别来自去年Q3、今年初和上个月变更后。防火墙规则调整了两次,但只有其中一份更新了NAT映射表。当安全团队想根据文档做合规检查时,根本分不清哪份才是真实环境的反映。这种情况下,文档不仅没起作用,反而成了误导源。
每次架构调整后必须同步更新文档,并标记修订时间、修改人和变更原因。可以用简单的版本控制方式:
network-design-v2.1.pdf - 2024-03-15 - 增加DMZ区WAF部署
network-design-v2.2.pdf - 2024-05-20 - 核心交换机堆叠改造从纸面到实战:做一次真实推演
某物流公司花两周时间做了完整的网络设计,评审会上人人点头。后来换个思路,请红队成员拿着这份文档模拟攻击。结果对方直接指出:‘你们在文档里写了备份链路自动切换机制,但没提认证方式——这意味着我可以伪造BGP更新包触发切换,把流量引到我的设备上。’
这种基于文档的威胁建模应该成为标准动作。重点关注:敏感区域是否有过度暴露?管理接口是否暴露在公网?日志审计路径会不会被绕过?把文档当成攻击者的地图,反过来找弱点。
网络设计文档从来不是项目完成后的补作业,而是安全防线的第一道工事。写清楚每一个连接关系,标注每一处权限边界,它才能真正发挥作用,而不是在出事之后变成追责时的一纸罪证。