网络防范攻击策略

一 网络安全流程图

二 防范攻击策略

1、网络传输安全

网络传输安全一般由网络安全设备构成，常见的网络安全设备有硬件防火墙、网络入侵检测（IDS），路由器、交换机等。

防火墙可以对进入网络设备的主机设置各种规则，保证互联网合法主机安全进入服务器，局域网主机可以根据防火墙指定的规则访问互联网。

有些攻击行为可以在防火墙允许的规则内进行攻击。对于这种攻击，防火墙显得无能为力，此时可以使用（IDS，Intrusion Detection System，入侵检测系统）设备。IDS依照一定的安全策略，对网络、系统运行状态进行监控，尽可能发现各种攻击企图、攻击行为或攻击结果，以保证系统资源的机密性、完整性和可用性。

举个例子，如果防火墙比喻成一座大楼的门，那么IDS就是大楼里面的监视器，当有些小偷乔装打扮成大楼的内部人员并越过大门进入大楼内时，只有监视器才能发现小偷的破坏行为并报警。

路由器可以设置很多路由规则，对内部网络进行详细的规划，控制网络路由走向。同时，配合交换机使用，实现内部局域网络有条件、有规则地互通。

2、操作系统安全

操作系统安全是在服务器的系统本身进行的一系列安全设置和优化。例如，在Linux操作系统下，经常进行的系统安全设置有：系统内核定期升级并保持最新，系统自带软件保持最新，配置软件防火墙iptables防范策略，配置杀毒软件防范病毒，关闭无关的服务和端口，密码安全管理等。

现在很多攻击都可以绕过防火墙或者在防火墙允许的范围内伪装进入系统内部，企图进行破坏。例如，对于常见的一些病毒程序，防火墙是无法检测的，此时，如果操作系统本身配置了杀毒软件程序，那么系统就能检测到病毒的攻击，进而化解危机，将危机消灭在萌芽状态。由此可以看到，即使黑客攻破了第一道网络传输安全关，也难逃操作系统安全的检验。

3、应用软件安全

应用软件安全是对在服务器上运行的应用软件程序本身进行的安全策略配置和优化。例如，常见的WWW服务器章对Apache进行安全配置，数据库服务器中通过数据库本身对连接数据库客户端进行限制，FTP服务器中通过修改FTP本身的配置文件进行资源授权访问等，这些都是应用软件安全防范策略的体现。

SQL注入攻击，以及跨站脚本攻击都属于应用软件安全漏洞造成的攻击入侵，可见，应用软件防范是网络安全的核心，一个不安全的程序即使经过再多的安全设备、安全策略的过滤，也都无济于事。我们做各种安全防范时，安全设备都要在应用软件安全的基础上进行。这就对程序员提出了安全要求。

上面从网络安全、操作系统安全、应用软件安全三个方面详细介绍了每个方面需要做的工作。从互联网访问服务器资源，都必须经历这三个安全关卡，如果能够在每个方面都制订出很详细、很完备的安全策略，黑客的各种攻击与破坏将无法施展。