笨驢信息(IMFirewall)博客

網絡滲透攻擊會嚴重威脅到企業的網絡安全和數據安全。攻擊者會有針對性地對某個目標網絡進行攻擊，以獲取其內部的商業資料，進行網絡破壞等。一旦其獲取了目標網絡中網站服務器的權限，還會利用此臺服務器，繼續入侵目標網絡，獲取整個網絡中所有主機的權限。為了實現滲透攻擊，攻擊者采用的攻擊方式絕不僅此于一種簡單的Web腳本漏洞攻擊。攻擊者會綜合運用遠程溢出、木馬攻擊、密碼破解、嗅探、ARP欺騙等多種攻擊方式，逐步控制網絡。

防御網絡滲透攻擊，主要從如下方面入手：

• 采用安全的網絡架構，杜絕未知接入。

• 部署網絡安全設備，精確識別和抵御攻擊行為。

• 配置策略阻止未知來源的網絡連接。

1. 采用安全的網絡架構，杜絕未知接入。

合理的網絡架構設計需要可以保障網絡的物理安全、數據安全和主機系統安全。網絡架構是網絡安全的基礎，一些重要的內容應當在物理架構上保證安全。比如把有線和無線區分不同的VLAN，無線不允許訪問內網。

2. 部署網絡安全設備，精確識別和抵御攻擊行為。

通過在出口處部署一臺網絡安全設備，即可識別外網的攻擊流量，阻止網絡掃描以及后續的攻擊行為。入侵防御系統可以對所有流量進行特征匹配，一旦匹配到網絡滲透攻擊就進行阻止。木馬檢測系統可以識別內網的木馬流量，識別到被感染的主機后，網管人員需要到主機上去查毒；其中入侵防御和木馬檢測都是基于流量的特征進行識別的，而WSG的“主動防御”系統可以識別攻擊的行為特征，從而對入侵防御和木馬檢測進行補充完善，阻止網絡掃描、DDOS攻擊等行為。

3. 配置策略阻止未知來源的網絡連接。

由于大部分的攻擊都是來自國外，如果可以的話，建議屏蔽所有的國外來源IP。這樣可以有效的提高網絡安全指數。如下圖，在WSG上網行為管理的防火墻規則中，配置兩條策略，一條“只允許中國IP”，一條“禁止全部外網轉發”；把“只允許中國IP”放在“禁止全部外網轉發”的上面，這樣的效果就是只有中國的IP才會被允許，其余一律會被屏蔽掉。