網(wǎng)絡(luò)滲透攻擊會(huì)嚴(yán)重威脅到企業(yè)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全。攻擊者會(huì)有針對(duì)性地對(duì)某個(gè)目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊，以獲取其內(nèi)部的商業(yè)資料，進(jìn)行網(wǎng)絡(luò)破壞等。一旦其獲取了目標(biāo)網(wǎng)絡(luò)中網(wǎng)站服務(wù)器的權(quán)限，還會(huì)利用此臺(tái)服務(wù)器，繼續(xù)入侵目標(biāo)網(wǎng)絡(luò)，獲取整個(gè)網(wǎng)絡(luò)中所有主機(jī)的權(quán)限。為了實(shí)現(xiàn)滲透攻擊，攻擊者采用的攻擊方式絕不僅此于一種簡(jiǎn)單的Web腳本漏洞攻擊。攻擊者會(huì)綜合運(yùn)用遠(yuǎn)程溢出、木馬攻擊、密碼破解、嗅探、ARP欺騙等多種攻擊方式，逐步控制網(wǎng)絡(luò)。

防御網(wǎng)絡(luò)滲透攻擊，主要從如下方面入手：

• 采用安全的網(wǎng)絡(luò)架構(gòu)，杜絕未知接入。

• 部署網(wǎng)絡(luò)安全設(shè)備，精確識(shí)別和抵御攻擊行為。

• 配置策略阻止未知來(lái)源的網(wǎng)絡(luò)連接。

1. 采用安全的網(wǎng)絡(luò)架構(gòu)，杜絕未知接入。

合理的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)需要可以保障網(wǎng)絡(luò)的物理安全、數(shù)據(jù)安全和主機(jī)系統(tǒng)安全。網(wǎng)絡(luò)架構(gòu)是網(wǎng)絡(luò)安全的基礎(chǔ)，一些重要的內(nèi)容應(yīng)當(dāng)在物理架構(gòu)上保證安全。比如把有線和無(wú)線區(qū)分不同的VLAN，無(wú)線不允許訪問(wèn)內(nèi)網(wǎng)。

2. 部署網(wǎng)絡(luò)安全設(shè)備，精確識(shí)別和抵御攻擊行為。

通過(guò)在出口處部署一臺(tái)網(wǎng)絡(luò)安全設(shè)備，即可識(shí)別外網(wǎng)的攻擊流量，阻止網(wǎng)絡(luò)掃描以及后續(xù)的攻擊行為。入侵防御系統(tǒng)可以對(duì)所有流量進(jìn)行特征匹配，一旦匹配到網(wǎng)絡(luò)滲透攻擊就進(jìn)行阻止。木馬檢測(cè)系統(tǒng)可以識(shí)別內(nèi)網(wǎng)的木馬流量，識(shí)別到被感染的主機(jī)后，網(wǎng)管人員需要到主機(jī)上去查毒；其中入侵防御和木馬檢測(cè)都是基于流量的特征進(jìn)行識(shí)別的，而WSG的“主動(dòng)防御”系統(tǒng)可以識(shí)別攻擊的行為特征，從而對(duì)入侵防御和木馬檢測(cè)進(jìn)行補(bǔ)充完善，阻止網(wǎng)絡(luò)掃描、DDOS攻擊等行為。

3. 配置策略阻止未知來(lái)源的網(wǎng)絡(luò)連接。

由于大部分的攻擊都是來(lái)自國(guó)外，如果可以的話，建議屏蔽所有的國(guó)外來(lái)源IP。這樣可以有效的提高網(wǎng)絡(luò)安全指數(shù)。如下圖，在WSG上網(wǎng)行為管理的防火墻規(guī)則中，配置兩條策略，一條“只允許中國(guó)IP”，一條“禁止全部外網(wǎng)轉(zhuǎn)發(fā)”；把“只允許中國(guó)IP”放在“禁止全部外網(wǎng)轉(zhuǎn)發(fā)”的上面，這樣的效果就是只有中國(guó)的IP才會(huì)被允許，其余一律會(huì)被屏蔽掉。