網(wǎng)絡(luò)滲透攻擊會嚴重威脅到企業(yè)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全。攻擊者會有針對性地對某個目標網(wǎng)絡(luò)進行攻擊，以獲取其內(nèi)部的商業(yè)資料，進行網(wǎng)絡(luò)破壞等。一旦其獲取了目標網(wǎng)絡(luò)中網(wǎng)站服務(wù)器的權(quán)限，還會利用此臺服務(wù)器，繼續(xù)入侵目標網(wǎng)絡(luò)，獲取整個網(wǎng)絡(luò)中所有主機的權(quán)限。為了實現(xiàn)滲透攻擊，攻擊者采用的攻擊方式絕不僅此于一種簡單的Web腳本漏洞攻擊。攻擊者會綜合運用遠程溢出、木馬攻擊、密碼破解、嗅探、ARP欺騙等多種攻擊方式，逐步控制網(wǎng)絡(luò)。

防御網(wǎng)絡(luò)滲透攻擊，主要從如下方面入手：

• 采用安全的網(wǎng)絡(luò)架構(gòu)，杜絕未知接入。

• 部署網(wǎng)絡(luò)安全設(shè)備，精確識別和抵御攻擊行為。

• 配置策略阻止未知來源的網(wǎng)絡(luò)連接。

1. 采用安全的網(wǎng)絡(luò)架構(gòu)，杜絕未知接入。

合理的網(wǎng)絡(luò)架構(gòu)設(shè)計需要可以保障網(wǎng)絡(luò)的物理安全、數(shù)據(jù)安全和主機系統(tǒng)安全。網(wǎng)絡(luò)架構(gòu)是網(wǎng)絡(luò)安全的基礎(chǔ)，一些重要的內(nèi)容應(yīng)當在物理架構(gòu)上保證安全。比如把有線和無線區(qū)分不同的VLAN，無線不允許訪問內(nèi)網(wǎng)。

2. 部署網(wǎng)絡(luò)安全設(shè)備，精確識別和抵御攻擊行為。

通過在出口處部署一臺網(wǎng)絡(luò)安全設(shè)備，即可識別外網(wǎng)的攻擊流量，阻止網(wǎng)絡(luò)掃描以及后續(xù)的攻擊行為。入侵防御系統(tǒng)可以對所有流量進行特征匹配，一旦匹配到網(wǎng)絡(luò)滲透攻擊就進行阻止。木馬檢測系統(tǒng)可以識別內(nèi)網(wǎng)的木馬流量，識別到被感染的主機后，網(wǎng)管人員需要到主機上去查毒；其中入侵防御和木馬檢測都是基于流量的特征進行識別的，而WSG的“主動防御”系統(tǒng)可以識別攻擊的行為特征，從而對入侵防御和木馬檢測進行補充完善，阻止網(wǎng)絡(luò)掃描、DDOS攻擊等行為。

3. 配置策略阻止未知來源的網(wǎng)絡(luò)連接。

由于大部分的攻擊都是來自國外，如果可以的話，建議屏蔽所有的國外來源IP。這樣可以有效的提高網(wǎng)絡(luò)安全指數(shù)。如下圖，在WSG上網(wǎng)行為管理的防火墻規(guī)則中，配置兩條策略，一條“只允許中國IP”，一條“禁止全部外網(wǎng)轉(zhuǎn)發(fā)”；把“只允許中國IP”放在“禁止全部外網(wǎng)轉(zhuǎn)發(fā)”的上面，這樣的效果就是只有中國的IP才會被允許，其余一律會被屏蔽掉。