一、回顧常見(jiàn)的攻擊方式

【漏洞掃描與利用】：

通過(guò)特定的操作過(guò)程，或使用專(zhuān)門(mén)地漏洞攻擊程序，利用現(xiàn)有操作系統(tǒng)、應(yīng)用軟件中的漏洞，來(lái)入侵系統(tǒng)或獲取特殊權(quán)限。如網(wǎng)頁(yè)木馬利用了IE等瀏覽器的漏洞、SQL注入利用了網(wǎng)頁(yè)代碼的漏洞。

【病毒木馬植入】：

通過(guò)向用戶(hù)系統(tǒng)中植入病毒或木馬程序，破壞用戶(hù)數(shù)據(jù)、竊取用戶(hù)信息或者暗中控制用戶(hù)系統(tǒng)。如發(fā)送帶有病毒的電子郵件、通過(guò)網(wǎng)站掛馬等方式都可以將病毒或木馬安裝到用戶(hù)系統(tǒng)中。

【DDoS攻擊】：

DDoS(Distributed Denial of Service)就是分布式拒絕服務(wù)，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使服務(wù)器無(wú)法處理合法用戶(hù)的請(qǐng)求。很多DoS攻擊源一起攻擊某臺(tái)服務(wù)器就組成了DDoS攻擊。

【網(wǎng)絡(luò)釣魚(yú)】：

攻擊者利用欺騙性的電子郵件、短信或QQ等引誘用戶(hù)訪(fǎng)問(wèn)偽造的網(wǎng)站來(lái)進(jìn)行網(wǎng)絡(luò)詐騙，受害者往往會(huì)泄露自己的私密信息，如銀行卡號(hào)與密碼、身份證號(hào)等。從外觀上來(lái)看，攻擊者偽造的網(wǎng)站與真正的網(wǎng)站幾乎一模一樣，網(wǎng)站域名也比較相似。如招商銀行的真正網(wǎng)址為wwwNaNbchina.com，攻擊者偽造一個(gè)外觀相仿的wwwNaNdchina.com站點(diǎn)，并向受害者發(fā)送譬如“您的網(wǎng)銀賬號(hào)于x月x日登錄失敗超過(guò)15次，為了提高賬號(hào)安全性，建議登錄http://wwwNaNdchina.com網(wǎng)站重置密碼……”的郵件，從而誘使其訪(fǎng)問(wèn)偽造的站點(diǎn)以盜取用戶(hù)的網(wǎng)銀賬號(hào)和密碼等信息。

除此之外，還有密碼解除、網(wǎng)絡(luò)監(jiān)聽(tīng)、電子郵件攻擊等攻擊方式。

二、局域網(wǎng)安全防護(hù)

(1)、物理安全

存放位置：將關(guān)鍵設(shè)備集中存放到一個(gè)單獨(dú)的機(jī)房中，并提供良好的通風(fēng)、消防

電氣設(shè)施條件

人員管理：對(duì)進(jìn)入機(jī)房的人員進(jìn)行嚴(yán)格管理，盡可能減少能夠直接接觸物理設(shè)備

的人員數(shù)量

硬件冗余：對(duì)關(guān)鍵硬件提供硬件冗余，如RAID磁盤(pán)陣列、熱備份路由、UPS不

間斷電源等

(2)、網(wǎng)絡(luò)安全

端口管理：關(guān)閉非必要開(kāi)放的端口，若有可能，網(wǎng)絡(luò)服務(wù)盡量使用非默認(rèn)端口，

如遠(yuǎn)程桌面連接所使用的3389端口，最好將其更改為其他端口

加密傳輸：盡量使用加密的通信方式傳輸數(shù)據(jù)據(jù)，如HTTPS、，IPsec...，

一般只對(duì)TCP協(xié)議的端口加密，UDP端口不加密

入侵檢測(cè)：?jiǎn)⒂萌肭謾z測(cè)，對(duì)所有的訪(fǎng)問(wèn)請(qǐng)求進(jìn)行特征識(shí)別，及時(shí)丟棄或封鎖攻

擊請(qǐng)求，并發(fā)送擊擊警告

(3)、系統(tǒng)安全

系統(tǒng)/軟件漏洞：選用正版應(yīng)用軟件，并及時(shí)安裝各種漏洞及修復(fù)補(bǔ)丁

賬號(hào)/權(quán)限管理：對(duì)系統(tǒng)賬號(hào)設(shè)置高強(qiáng)度的復(fù)雜密碼，并定期進(jìn)行更換，對(duì)特定

人員開(kāi)放其所需的最小權(quán)限

軟件/服務(wù)管理：卸載無(wú)關(guān)軟件，關(guān)閉非必要的系統(tǒng)服務(wù)

病毒/木馬防護(hù)：統(tǒng)一部署防病毒軟件，并啟用實(shí)時(shí)監(jiān)控

(4)、數(shù)據(jù)安全

數(shù)據(jù)加密：對(duì)保密性要求較高的數(shù)據(jù)據(jù)進(jìn)行加密，如可以使用微軟的EFS

(Encrypting File System)來(lái)對(duì)文件系統(tǒng)進(jìn)行加密

用戶(hù)管理：嚴(yán)格控制用戶(hù)對(duì)關(guān)鍵數(shù)據(jù)的訪(fǎng)問(wèn)，并記錄用戶(hù)的訪(fǎng)問(wèn)日志

數(shù)據(jù)備份：對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行備份，制定合理的備份方案，可以將其備份到遠(yuǎn)程

服務(wù)器、或保存到光盤(pán)、磁帶等物理介質(zhì)中，并保證備份的可用性

三、部署網(wǎng)絡(luò)版防病毒軟件

?對(duì)局域網(wǎng)安全最大的威脅，其實(shí)并不是來(lái)自外部的攻擊，而是來(lái)自于局域網(wǎng)內(nèi)部的攻擊

?由于終端用戶(hù)的安全意識(shí)、安全技能的匱乏，加之Internet上病毒、木馬泛濫成災(zāi)，導(dǎo)致用戶(hù)在瀏覽網(wǎng)頁(yè)的時(shí)候，很容易在不知不覺(jué)中將病毒、木馬帶入到局域網(wǎng)中

(1)、網(wǎng)絡(luò)版防病毒軟件介紹(特點(diǎn))

可以遠(yuǎn)程安裝或卸載客戶(hù)端防病毒軟件

可以禁止用戶(hù)自行卸載客戶(hù)端防病毒軟件

可以在全網(wǎng)范圍內(nèi)統(tǒng)一制定、分發(fā)和執(zhí)行防病策略

可以遠(yuǎn)程監(jiān)控客戶(hù)端的系統(tǒng)健康狀態(tài)

提供遠(yuǎn)程報(bào)警手段，可以自動(dòng)將病毒信息發(fā)送給網(wǎng)絡(luò)管理員

允許客戶(hù)端用戶(hù)自定義防病毒策略

(2)、部署Symantec網(wǎng)絡(luò)版防病毒軟件

?Symantec Endpoint Protection企業(yè)版是Symantec公司推出的網(wǎng)絡(luò)版殺毒軟件，由管理臺(tái)和客戶(hù)端組成

?它集成了防病毒、反間諜軟件、防火墻和入侵防御以及設(shè)備與應(yīng)用程序控制功能。通過(guò)集中式管理功能，可以幫助物理和虛擬系統(tǒng)防御各種類(lèi)型攻擊

部署Symantec的相關(guān)組件：

該軟件需要IIS功能的支持，所以需要在Server 2008上安裝IIS7.0及相關(guān)的ASP.NET、CGI、IIS6.0管理兼容性角色服務(wù)

四、防火墻介紹

(1)、防火墻的概念

?為了防止黑客入侵，企業(yè)內(nèi)部網(wǎng)在接入Internet時(shí)必須構(gòu)筑一道安全的“護(hù)城河”，通過(guò)“護(hù)城河”將內(nèi)部網(wǎng)保護(hù)起來(lái)，這個(gè)“護(hù)城河”就是防火墻

?防火墻的英文名稱(chēng)"Fire Wall",它是目前最重要的網(wǎng)絡(luò)護(hù)護(hù)設(shè)備之一

?Windows系統(tǒng)都有一個(gè)自帶的防火墻，通過(guò)啟用Windows防火墻，可以有效地?cái)r截外界對(duì)系統(tǒng)的非法訪(fǎng)問(wèn)和入侵，提高計(jì)算機(jī)系統(tǒng)的安全。

(2)、防火墻的主要功能

v強(qiáng)化安全策略

§限制用戶(hù)的對(duì)內(nèi)、對(duì)外訪(fǎng)問(wèn)

v記錄用戶(hù)的上網(wǎng)活動(dòng)

§監(jiān)視局域網(wǎng)用戶(hù)的上網(wǎng)行為

v隱藏網(wǎng)絡(luò)拓?fù)?/p>

§隱藏內(nèi)部網(wǎng)絡(luò)

§緩解公共IP地址短缺矛盾

v檢查安全策略

§過(guò)濾不安全服務(wù)，提高網(wǎng)絡(luò)安全性

(3)、防火墻的分類(lèi)

1、按防火墻的功能分類(lèi)

包過(guò)濾型防火墻

?硬件防火墻，包過(guò)濾技術(shù)是防火墻最傳統(tǒng)、最基本的技術(shù)

?它工作在OSI(Open System Interconnection)參考模型的網(wǎng)絡(luò)層

?它根據(jù)數(shù)據(jù)包頭源地址、目的地址、端口號(hào)和協(xié)議類(lèi)型等標(biāo)志來(lái)確定是否允許數(shù)據(jù)包通過(guò)

應(yīng)用代理型防火墻

?軟件防火墻，它工作在OSI的最高層，即應(yīng)用層

?使用這種防火墻，可以實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄和報(bào)告功能

狀態(tài)檢測(cè)型防火墻

?硬件防火墻，該防火墻是由包過(guò)濾型防火墻發(fā)展而來(lái)的

?它可以動(dòng)態(tài)地根據(jù)實(shí)際應(yīng)用需求，自動(dòng)生成或刪除相應(yīng)的包過(guò)濾規(guī)則，而無(wú)需管理員手動(dòng)干預(yù)

?這種防火墻不但能夠根據(jù)包的源地址、目標(biāo)地址、協(xié)議類(lèi)型、源端口、目標(biāo)端口等數(shù)據(jù)包進(jìn)行控制，而且能夠記錄通過(guò)防火墻的連接狀態(tài)，直接對(duì)包里的數(shù)據(jù)進(jìn)行處理

2、按防火墻的軟硬件形式分類(lèi)

軟件防火墻

?軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，需要預(yù)先安裝的操作系統(tǒng)的支持，一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)

?軟件防火墻就像其他的軟件產(chǎn)口一樣，需要先在計(jì)算機(jī)上安裝并運(yùn)行配置后才可以使用，如微軟的TMG防火墻

硬件防火墻

?硬件防火墻使用專(zhuān)用芯片處理網(wǎng)絡(luò)數(shù)據(jù)包，CPU只做管理使用

?采用專(zhuān)門(mén)的操作系統(tǒng)平臺(tái)，從而避免了通用操作系統(tǒng)的安全性漏洞，如Cisco Asa防火墻

(4)、常用的風(fēng)款防火墻

1、NetScreen 系列防火墻

集成了防火墻、、入侵檢測(cè)和流量管理功能

2、Cisco ASA 5500系列防火墻

提供了豐富的應(yīng)用安全、網(wǎng)絡(luò)控制、 等功能

3、天融信防火墻

集成了防火墻、防病毒、入侵檢測(cè)、等功能

4、TMG防火墻(軟件防火墻)

TMG屬于微軟Forefront產(chǎn)品系列中的一款，主要負(fù)責(zé)網(wǎng)絡(luò)邊緣范圍的安全防范與保護(hù)，可以與活動(dòng)目錄、NAP等進(jìn)行完美的集成，實(shí)現(xiàn)更加全面、便捷的安全管控。

除了具有傳統(tǒng)防火墻的主要功能之外，它還具有以下功能。

完美支持64位內(nèi)存尋址

不受4G內(nèi)存的尋址限制，在內(nèi)存讀寫(xiě)及管理方面得到極大的性能提升。

Web反病毒與過(guò)濾

通過(guò)URL篩選、惡意軟件檢查、HTTS檢查等方式對(duì)Web訪(fǎng)問(wèn)進(jìn)行檢查，將病毒、間諜軟件等拒之門(mén)外。

緩存

對(duì)于需要處理大量Web流量的企業(yè)，通過(guò)緩存功能，可以大大提升用戶(hù)的上網(wǎng)速度，降低帶寬成本