網(wang)(wang)絡滲(shen)透(tou)攻(gong)(gong)擊(ji)(ji)會(hui)嚴(yan)重(zhong)威(wei)脅到(dao)企業的(de)網(wang)(wang)絡安(an)全和(he)數據安(an)全。攻(gong)(gong)擊(ji)(ji)者(zhe)(zhe)會(hui)有(you)針對(dui)性地(di)對(dui)某個目(mu)標網(wang)(wang)絡進(jin)行(xing)攻(gong)(gong)擊(ji)(ji)，以獲(huo)取(qu)其內部的(de)商(shang)業資(zi)料，進(jin)行(xing)網(wang)(wang)絡破壞等(deng)。一(yi)(yi)旦其獲(huo)取(qu)了目(mu)標網(wang)(wang)絡中網(wang)(wang)站(zhan)服務器的(de)權限(xian)，還會(hui)利用(yong)此臺(tai)服務器，繼續入(ru)侵(qin)目(mu)標網(wang)(wang)絡，獲(huo)取(qu)整(zheng)個網(wang)(wang)絡中所有(you)主機的(de)權限(xian)。為了實現滲(shen)透(tou)攻(gong)(gong)擊(ji)(ji)，攻(gong)(gong)擊(ji)(ji)者(zhe)(zhe)采用(yong)的(de)攻(gong)(gong)擊(ji)(ji)方式絕(jue)不僅此于一(yi)(yi)種簡(jian)單的(de)Web腳本漏洞攻(gong)(gong)擊(ji)(ji)。攻(gong)(gong)擊(ji)(ji)者(zhe)(zhe)會(hui)綜(zong)合運用(yong)遠(yuan)程(cheng)溢出、木馬攻(gong)(gong)擊(ji)(ji)、密碼破解、嗅探、ARP欺騙等(deng)多種攻(gong)(gong)擊(ji)(ji)方式，逐步控制(zhi)網(wang)(wang)絡。

防御網絡(luo)滲透攻擊，主要從如下方面入手：

• 采用安全的網絡架構，杜絕未知(zhi)接入(ru)。

• 部署網絡(luo)安全設備(bei)，精確識別和(he)抵御攻擊(ji)行(xing)為。

• 配置策略阻止(zhi)未(wei)知來源(yuan)的網絡連(lian)接。

1. 采用安全的網絡架構，杜絕未知接入。

合(he)理的網(wang)(wang)絡(luo)架(jia)(jia)構設計需要可以保(bao)(bao)障網(wang)(wang)絡(luo)的物(wu)理安(an)(an)全(quan)、數據安(an)(an)全(quan)和主(zhu)機(ji)系統安(an)(an)全(quan)。網(wang)(wang)絡(luo)架(jia)(jia)構是網(wang)(wang)絡(luo)安(an)(an)全(quan)的基礎，一些重(zhong)要的內容應當(dang)在(zai)物(wu)理架(jia)(jia)構上保(bao)(bao)證安(an)(an)全(quan)。比如把有線和無線區分不同的VLAN，無線不允許訪問內網(wang)(wang)。

2. 部署網絡安全設備，精確識別和抵御攻擊行為。

通過在出口(kou)處部(bu)署一臺網(wang)絡(luo)(luo)安(an)全(quan)設備，即可(ke)(ke)識(shi)別(bie)(bie)外網(wang)的攻擊(ji)流量(liang)，阻(zu)止(zhi)網(wang)絡(luo)(luo)掃描(miao)以(yi)(yi)及(ji)后續的攻擊(ji)行(xing)(xing)為(wei)。入(ru)侵防(fang)(fang)御系(xi)統可(ke)(ke)以(yi)(yi)對(dui)所有流量(liang)進(jin)(jin)行(xing)(xing)特征匹(pi)配，一旦匹(pi)配到(dao)網(wang)絡(luo)(luo)滲(shen)透(tou)攻擊(ji)就進(jin)(jin)行(xing)(xing)阻(zu)止(zhi)。木馬(ma)檢(jian)測系(xi)統可(ke)(ke)以(yi)(yi)識(shi)別(bie)(bie)內網(wang)的木馬(ma)流量(liang)，識(shi)別(bie)(bie)到(dao)被感(gan)染(ran)的主機后，網(wang)管人員需要(yao)到(dao)主機上去查毒(du)；其(qi)中(zhong)入(ru)侵防(fang)(fang)御和(he)木馬(ma)檢(jian)測都是(shi)基(ji)于流量(liang)的特征進(jin)(jin)行(xing)(xing)識(shi)別(bie)(bie)的，而WSG的“主動防(fang)(fang)御”系(xi)統可(ke)(ke)以(yi)(yi)識(shi)別(bie)(bie)攻擊(ji)的行(xing)(xing)為(wei)特征，從而對(dui)入(ru)侵防(fang)(fang)御和(he)木馬(ma)檢(jian)測進(jin)(jin)行(xing)(xing)補充(chong)完善，阻(zu)止(zhi)網(wang)絡(luo)(luo)掃描(miao)、DDOS攻擊(ji)等行(xing)(xing)為(wei)。

3. 配置策略阻止未知來源的網絡連接。

由于大部分的(de)(de)攻擊都是(shi)來(lai)自(zi)國(guo)外(wai)(wai)，如果(guo)可(ke)以的(de)(de)話，建議屏蔽所有(you)的(de)(de)國(guo)外(wai)(wai)來(lai)源IP。這樣可(ke)以有(you)效(xiao)(xiao)的(de)(de)提高網(wang)絡安全指數。如下圖，在(zai)WSG上網(wang)行為管(guan)理的(de)(de)防火(huo)墻規則中(zhong)，配(pei)置兩條策略，一條“只(zhi)允(yun)(yun)許(xu)中(zhong)國(guo)IP”，一條“禁止全部外(wai)(wai)網(wang)轉發”；把“只(zhi)允(yun)(yun)許(xu)中(zhong)國(guo)IP”放在(zai)“禁止全部外(wai)(wai)網(wang)轉發”的(de)(de)上面(mian)，這樣的(de)(de)效(xiao)(xiao)果(guo)就是(shi)只(zhi)有(you)中(zhong)國(guo)的(de)(de)IP才會被允(yun)(yun)許(xu)，其余一律會被屏蔽掉。