靜態包過濾防火墻根據流經該設備的數據包地址信息決定是否允許該數據包通過，靜態包過濾器的工作原理：

• 過濾內容：源地址、目的地址、源端口、目的端口、應用或協議。

• 若符合規則，則丟棄數據包：如果包過濾器沒有發現一個規則與該數據包匹配，那么它將對其施加一個默認規則。

• 過濾位置：可以在網絡入口處過濾，也可在網絡出口處過濾，還可以在入口和出口同時對數據包進行過濾。

• 訪問控制策略：網管員預先編寫一個訪問控制列表，明確規定哪些主機或服務可接受，哪些主機或服務不可接受。

靜態包過濾防火墻的優點：

• 邏輯簡單，價格便宜，成本低。

• 對網絡性能的影響較小，有較強的透明性。

• 它的工作與應用層無關，無須改動任何客戶機和主機上的應用程序，易于安裝和使用。

靜態包過濾防火墻的缺點：

• 配置基于包過濾方式的防火墻，需要對IP、TCP、UDP、ICMP等各種協議有深入的了解，否則容易出現因配置不當帶來的問題。

• 過濾判別的只有網絡層和傳輸層的有限信息，因而各種安全要求不能得到充分滿足。

• 由于數據包的地址及端口號都在數據包的頭部，不能徹底防止IP地址欺騙。

• 允許外部客戶和內部主機的直接連接。

• 不提供用戶的鑒別機制。

• 僅工作在網絡層，具有較低水平的安全性。

內網解除網站連接不安全的措施如下：

1. 選擇安裝證書：彈出窗口出現“此站點不安全”彈出窗口時，單擊其底部的“ 繼續訪問此網站”選項。選擇紅色地址欄旁邊的證書錯誤選項，在信息窗口中單擊查看證書。選擇安裝證書。

2. 制作CSR文件：所謂CSR就是由申請人制作的Certificate Secure Request證書請求文件。制作過程中，系統會產生2個密鑰，一個是公鑰就是這個CSR文件，另外一個是私鑰，存放在服務器上。要制作CSR文件，申請人可以參考WEB SERVER的文檔，一般APACHE等，使用OPENssl命令行來生成KEY+CSR2個文件，Tomcat，JBoss，Resin等使用KEYTOOL來生成JKS和CSR文件，IIS通過向導建立一個掛起的請求和一個CSR文件。

3. CA認證：將CSR提交給CA，也有需要同時認證以上2種方式的證書，叫EV ssl證書，這種證書可以使IE7以上的瀏覽器地址欄變成綠色，所以認證也最嚴格。CA一般有2種認證方式：域名認證：一般通過對管理員郵箱認證的方式，這種方式認證速度快，但是簽發的證書中沒有企業的名稱;企業文檔認證：需要提供企業的營業執照。

4. 證書安裝完成：在收到CA的證書后，可以將證書部署上服務器，一般APACHE文件直接將KEY+CER復制到文件上，然后修改httpD.CONF文件;TOMCAT等，需要將CA簽發的證書CER文件導入JKS文件后，復制上服務器，然后修改SERVER.XML;IIS需要處理掛起的請求，將CER文件導入。

從技術上來說入侵檢測系統分為以下三種：

• 基于知識的模式識別：這種技術是通過事先定義好的模式數據庫實現的，首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數據庫，然后監視主體的一舉一動，當檢測到主體活動違反了事先定義的模式規則時，根據模式匹配原則判別是否發生了攻擊行為。模式識別的關鍵是建立入侵模式的表示形式，同時，要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進。

• 基于知識的異常識別：這種技術是通過事先建立正常行為檔案庫實現的，首先把主體的各種正常活動用某種形式描述出來，并建立“正常活動檔案”，當某種活動與所描述的正常活動存在差異時，就認為是“入侵”行為，進而被檢測識別。異常識別的關鍵是描述正常活動和構建正常活動檔案庫。利用行為進行識別時，存在四種可能：一是入侵且行為正常；二是入侵且行為異常；三是非入侵且行為正常；四是非入侵且行為異常。根據異常識別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為，并具有簡單的學習功能。

• 協議分析：這種檢測方法是根據針對協議的攻擊行為實現的，首先把各種可能針對協議的攻擊行為描述出來，其次建立用于分析的規則庫，最后利用傳感器檢查協議中的有效荷載，并詳細解析，從而實現入侵檢測。這種檢測技術能檢測出更為廣泛的攻擊，包括已知的和未知的攻擊行為。

防范操作系統安全風險通常有以下做法：

• 使用強密碼：要提高安全性，最簡單的方法之一就是使用不會被蠻力攻擊輕易猜到的密碼。蠻力攻擊是指這樣一種攻擊：攻擊者使用自動系統來盡快猜中密碼，希望不用多久就能找出正確的密碼。密碼應當包含特殊字符和空格、使用大小寫字母，避免單純的數字以及能在字典中找到的單詞；破解這種密碼比破解你家人的姓名或者你的周年紀念日期組成的密碼要難的多。另外要記住：密碼長度每增加一個字符，可能出現的密碼字符組合就會成倍增加。一般來說，不到8個字符的任何密碼都被認為太容易被破解。10個、12個甚至16個字符作為密碼來得比較安全。但也不要把密碼設得過長，以免記不住，或者輸入起來太麻煩。

• 做好邊界防御：不是所有的安全問題都發生在桌面系統上。使用外部防火墻/路由器來幫助保護你的計算機是個好想法，哪怕你只有一臺計算機。如果考慮低端產品，可以購買一個零售路由器設備，比如linksys、d-link和netgear等廠商的路由器，可以從當地的電子產品商店買到。如果考慮比較高端的產品，可以向思科、vyatta和foundry networks等企業級廠商購買管理型交換機、路由器和防火墻。你也可以另辟蹊徑，“從頭開始”自行組裝防火墻；或者使用預先封裝的防火墻/路由器安裝程序來自行組建防火墻，比如m0n0wall和ipcop，完全能做到功能與各大企業級廠商的解決方案不相上下。代理服務器、防病毒網關和垃圾郵件過濾網關也都有助于提高邊界的安全性。請記住：一般來說，交換機的安全功能勝過集線器；使用網絡地址轉換（nat）協議的路由器勝過交換機；防火墻絕對是必不可少的設備。

• 更新軟件：盡管在很多情況下，把補丁部署到生產系統之前先進行測試之類的問題可能極其重要，但安全補丁最終還是必須部署到系統上。如果長時間沒有更新安全補丁，可能會導致你使用的計算機很容易成為肆無忌憚的攻擊者的下手目標。別讓安裝在計算機上的軟件遲遲沒有打上最新的安全補丁。同樣的情況適用于任何基于特征碼的惡意軟件保護軟件，比如反病毒軟件（如果你的系統需要它們）：只有它們處于最新版本狀態，添加了最新的惡意軟件特征碼，才能發揮最佳的保護效果。

• 關閉沒有使用的服務：計算機用戶常常甚至不知道自己的系統上運行著哪些可以通過網絡訪問的服務。telnet和ftp是兩種經常會帶來問題的服務：如果你的計算機不需要這兩種服務，就應當關閉。確保你了解在計算機上運行的每一種服務，并且知道它為什么要運行。在某些情況下，這可能需要弄清楚該服務對你特定需要的重要性，以便不會犯在微軟windows計算機上關閉遠程過程調用（rpc）服務這樣的錯誤，而且不會禁用登錄，不過關閉實際上沒有使用的服務始終是個好想法。

• 使用數據加密：對關注安全的計算機用戶或者系統管理員來說，有不同級別的數據加密方法可供使用；選擇合理的加密級別以滿足自己的需要，這必須根本實際情況來決定。數據加密方法有很多，從使用密碼工具對文件逐個加密，到文件系統加密，直到整個磁盤的加密。上述加密方法通常不包括引導分區，因為那樣需要專門硬件幫助解密；但是如果非常需要加密引導分區以確保隱私、有必要投入這筆開支，也可以獲得這種整個系統的加密。針對除了引導分區加密外的任何應用，每一種所需的加密級別都有許多種解決方案，包括可在各大桌面操作系統上實現整個磁盤加密的商業化專有系統和開源系統。

• 通過備份保護數據：對數據進行備份是你用來保護自己、避免災難的最重要的方法之一。確保數據冗余的策略有很多，既有像定期把數據拷貝到光盤上這樣簡單、基本的策略，也有像定期自動備份到服務器上這樣復雜的策略。如果系統必須維持不斷運行、服務又不得中斷，冗余廉價磁盤陣列（raid）可以提供故障自動切換的冗余機制，以免磁盤出現故障。像rsync和bacula這些免費的備份工具可以把不管多么復雜的自動備份方案組合起來。像subversion這些版本控制系統可以提供靈活的數據管理功能，那樣不但可以在另一臺計算機上進行備份；而且不用吹灰之力，就可以讓多臺桌面機或者筆記本電腦擁有同樣的最新數據。

• 加密敏感通信：用于保護通信、避免被人竊聽的密碼系統極其普遍。針對電子郵件的支持openpgp協議的軟件，針對即時通信（im）客戶軟件的off the record插件，針對使用像ssh和ssl這些安全協議的持續通信的加密隧道軟件，以及許多其他工具，都用來確保數據在傳輸過程中沒有受到破壞。當然，在個人對個人的通信中，有時很難說服另一方使用加密軟件來保護通信，但有時候這種保護至關重要。

• 不要信任外來網絡：對于像本地咖啡店里面的無線網絡這樣的開放無線網絡，這一點顯得尤其重要。就因為你在安全方面非常謹慎，所以無法在咖啡店或者另外某個不可信任的外來網絡上使用無線網絡，這是沒有道理的。但關鍵是你必須通過自己的系統來確保安全；不要相信外來網絡很安全、遠離不懷好意的攻擊者。比如說在開放的無線網絡上，使用加密措施來保護敏感通信極其重要，包括連接到這樣的網站：使用登錄會話cookie來自動驗證身份，或者輸入用戶名和密碼。

• 使用不間斷電源（ups）：ups的作用不僅僅是停電時可以避免丟失文件。使用ups還有更重要的原因，比如功率調節、避免文件系統受到損壞。由于這個原因，就要確保購買的ups能夠與操作系統協同運行，以便通知操作系統什么時候ups需要關閉，免得電源用盡時你不在家；還要確保購買的ups可提供電池供電和功率調節功能。浪涌保護器根本不足以保護你的系統免遭“臟”電源的破壞。記住：ups對保護你的硬件和數據而言都很關鍵。

• 監控系統、查找安全威脅和漏洞：千萬不要想當然地認為：就因為已經采取了一系列安全防備措施，系統就肯定不會遭到攻擊者的破壞。你應該總是要建立某種日常監控機制，確保可疑事件會迅速引起你的注意；可以針對可能的安全漏洞或者安全威脅采取相應措施。我們不但需要把這種注意力放在網絡監控上，還要放在完整性審查以及/或者其他的本地系統安全監控技術上。

木馬發作原理如下：

• Web客戶端訪問位于網頁木馬宿主站點上的攻擊頁面（包括木馬程序的Web頁面），其中網頁木馬宿主站點上存放著攻擊腳本或攻擊頁面（攻擊程序所在的頁面）。

• 服務器根據請求報文的要求，返回響應報文，將頁面內容（包括有木馬程序）返回給Web客戶端。

• Web瀏覽器加載和渲染接收到的頁面內容。此時，頁面中包含的攻擊代碼在瀏覽器中被執行，并嘗試進行漏洞利用。

• 在不存在特定漏洞的瀏覽器中會正常顯示頁面信息，而在存在被利用漏洞的瀏覽器中將執行木馬程序。

• 網頁木馬攻擊成功后，被攻擊的Web客戶端根據攻擊者事先編寫程序中的地址，到提供惡意程序（計算機病毒、蠕蟲等）的下載站點下載和安裝惡意程序。

• 執行該惡意程序，實現最終的攻擊目的。

漏洞掃描屬于主動檢測的網絡掃描技術，主動檢測是一種基于TCP端口和標志位異常檢測的主動檢測掃描技術，通過主動學習被保護和掃描網絡提供的服務端口和TCP標志字段的分布特征，判斷出每個達到數據包的異常性，檢測各種基于TCP的掃描行為包括慢掃描和隱蔽掃描等多種系統掃描行為。

漏洞掃描還有以下四種檢測技術：

• 基于應用的檢測技術。它采用被動的、非破壞性的辦法檢查應用軟件包的設置，發現安全漏洞。

• 基于主機的檢測技術。它采用被動的、非破壞性的辦法對系統進行檢測。通常，它涉及到系統的內核、文件的屬性、操作系統的補丁等。這種技術還包括 口令解密、把一些簡單的口令剔除。因此，這種技術可以非常準確地定位系統的問題，發現系統的漏洞。它的缺點是與平臺相關，升級復雜。

• 基于目標的漏洞檢測技術。它采用被動的、非破壞性的辦法檢查系統屬性和文件屬性，如數據庫、注冊號等。通過消息文摘算法，對文件的加密數進行檢 驗。這種技術的實現是運行在一個閉環上，不斷地處理文件、系統目標、系統目標屬性，然后產生檢驗數，把這些檢驗數同原來的檢驗數相比較。一旦發現改變就通 知管理員。

• 基于網絡的檢測技術。它采用積極的、非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統進行攻擊的行為，然后對結果進行分 析。它還針對已知的網絡漏洞進行檢驗。網絡檢測技術常被用來進行穿透實驗和安全審記。這種技術可以發現一系列平臺的漏洞，也容易安裝。但是，它可能會影響 網絡的性能。

安全云存儲系統模型有以下這些些層：

• 物理資源層：作為云存儲最基礎的部分，存儲設備可以是FC光纖通道存儲設備、NAS和SAN等IP存儲設備，也可以是SCSI或SAS等DAS存儲設備。數量龐大的云存儲設備分布在不同地域，彼此之間通過廣域網、互聯網或者FC光纖通道網絡連接。所有物理資源構成一個集存儲、計算與網絡設備以及數據庫等于一體的物理資源倉庫。

• 虛擬化層：對存儲、計算與網絡設備進行邏輯虛擬化，將各類資源劃分為統一規格的存儲、計算與網絡單元，構成存儲、計算、網絡以及數據等資源池，以分配給用戶。

• 基礎管理層：基礎管理層是云存儲最核心的部分，通過集群系統、分布式文件系統和網格計算等技術，實現云存儲中多個存儲設備之間的協同工作，對外提供良好的數據訪問性能。

• 應用接口層：包括公用API接口、應用軟件以及網絡接入等。不同的云存儲運營單位可以根據實際業務類型，開發不同的應用服務接口，提供不同的應用服務。任何一個授權用戶通過網絡接入、用戶認證和權限管理接口等方式登錄云存儲系統，都可以享受云存儲服務。

• 訪問層：利用云存儲服務提供商訪問層所提供的不同訪問類型和訪問方式，用戶可享受諸如個人空間服務、運營商空間租賃、企事業單位或SMB的數據災備與遠程共享，以及視頻監控、IPTV和視頻點播等各種應用服務。

企業安全域根據業務功能特點劃分為以下這些：

• 終端用戶區域：所有應用的客戶端。主要包括為C/S結構的C端，B/S結構的B端。

• 管理用戶域：具有管理系統、網絡、應用等相關管理職能的用戶客戶端網絡。

• 內部用戶域：在局域網內部需使用信息系統的用戶端網絡。

• 外部用戶域：在局域網外部需訪問信息系統的用戶端網絡。

• 服務器域：包括所有服務器。為客戶端提供業務平臺，完成業務所需的所有服務處理，以及后臺數據存儲的功能。

• 應用服務訪問域：包括所有應用服務器。為主要為業務處理的中間層服務器。

• 核心處理域：核心數據存儲以及運算服務器，包括數據庫服務器等后臺處理設備。

實現系統安全運行有效閉環的關鍵技術是：

• 資產管理關鍵技術：應以資產梳理為起點，逐漸完成資產畫像工作，更加清晰地掌握系統總體輪廓。資產采集技術分為主動感知與被動收集。主動感知可對所有在線設備進行網絡掃描和深入識別，獲取終端的網絡地址、系統指紋、資產指紋、開放端口和服務等，并根據積累和運營的指紋庫確定每個終端的類型、操作系統、廠商信息。被動收集通過采集資產間的流量數據，發現隱匿資產、孤島資產以及易被黑客攻擊的資產。

• 漏洞管理關鍵技術：應根據不同的生命周期狀態對漏洞的風險值進行修正，以最大程度地接近和還原用戶真實IT環境中的風險。采取結構化、標準化和組織化的方式來處理漏洞數據，能夠有效降低來自多源數據40%以上的數據量，同時根據漏洞具有的特征整合威脅情報并評估情報信息，解決宏觀分析的問題。

• 配置核查關鍵技術：建立豐富的配置核查知識庫、命令行庫，使其覆蓋市面上大部分設備，且支持自定義的核查項編寫，能根據特殊設備情況編寫適用的命令行，獲取設備配置信息。

• 補丁運營關鍵技術：在系統安全工程中，“補丁”概念屬于廣義范疇。廣義補丁的目標是通過合理化手段降低企業系統風險，提升系統的整體安全，并非千篇一律地使用“打補丁”方式，而是根據情況不同，酌情選擇使用虛擬補丁、訪問控制列表、身份驗證、資產下線等多種手段。

• 數據整合關鍵技術：應做好系統安全基礎數據的采集、發現、分析，從系統安全管理視角出發，最終將資產數據、資產與漏洞情報數據的關聯情況，以及資產存在的不安全配置項這類基礎數據，通過集中管控可視化平臺進行統一管理、展示，并根據已有的管理制度進行線上處置流程的協同配合與跟蹤反饋。

身份鑒別造成威脅包括四個方面：

• 口令圈套。口令圈套是網絡安全的一種詭計，與冒名頂替有關。常用的口令圈套通過一個編譯代碼模塊實現，它運行起來和登錄屏幕一模一樣，被插入到正常登錄過程之前，最終用戶看到的只是先后兩個登錄屏幕，第一次登錄失敗了，所以用戶被要求再輸入用戶名和口令。

• 口令破解。口令破解就像是猜測自行車密碼鎖的數字組合一樣，在該領域中已形成許多能提高成功率的技巧。

• 算法考慮不周。口令輸入過程必須在滿足一定條件下才能正常地工作，這個過程通過某些算法實現。在一些攻擊入侵案例中，入侵者采用超長的字符串破壞了口令算法,成功地進入了系統。

• 編輯口令。編輯口令需要依靠操作系統漏洞，如果公司內部的人建立了一個虛設的賬戶或修改了一個隱含賬戶的口令，這樣，任何知道那個賬戶的用戶名和口令的人便可以訪問該機器了。

針對身份鑒別的典型攻擊手段：

• 信道截獲：由于認證信息要通過網絡傳遞，并且很多認證系統的口令是未經加密的明文，攻擊者通過竊聽網絡數據，就很容易分辨出某種特定系統的認證數據，并提取出用戶名和口令，或者其它有關的鑒別信息。

• 口令猜測：包括重放、修改或偽造、反送攻擊、交錯攻擊和選擇性攻擊等。

  重放：非授權用戶截獲信息，然后再傳送給接收者。

  修改或偽造：非授權用戶截獲信息，替換或修改信息后再傳送給接收者，或者非授權用戶冒充合法用戶發送信息。

  其它：如反送攻擊、交錯攻擊和選擇性攻擊等。

應對APT攻擊的防范技術有以下這些：

• 沙箱技術：沙箱，又叫做沙盤，被認為是當前防御APT攻擊的最有效技術之一。沙箱即是通過虛擬化技術形成一個模擬化的環境，同時將本地系統中的進程對象、內存、注冊表等與模擬環境相互隔離，以便在這個虛擬化環境中測試和觀察文件、訪問等運行行為。沙箱通過重定向技術，將測試過程中生成和修改的文件定向到特定文件夾中，避免了對真是注冊表、本地核心數據等的修改。當APT攻擊在改虛擬環境發生時，可以及時地觀察并分析其特征碼，進一步防御其深入攻擊。

• 信譽技術：安全信譽是對互聯網資源和服務相關實體安全可信性的評估和看法。信譽技術是應用于APT攻擊檢測具有較好輔助功能的一項技術，通過建立信譽庫，包括WEB URL信譽庫、文件MD5碼庫、僵尸網絡地址庫、威脅情報庫等，可以為新型病毒、木馬等APT攻擊的檢測提供強有力的技術輔助支撐，實現網絡安全設備對不良信譽資源的阻斷或過濾。信譽庫的充分利用，將進一步提高安全新品的安全防護能力。

• 主機漏洞防護技術：針對橫向移動與內部資料進行挖掘和探測的防御，可采用主機漏洞防護技術，能偵測任何針對主機漏洞的攻擊并加以攔截，進而保護未修補的主機。這類解決方案可實現檔案 / 系統一致性監控，保護未套用修補程序的主機，防止已知和0day 漏洞攻擊。

• 異常流量分析技術：這是一種流量檢測及分析技術，其采用旁路接入方式提取流量信息，可以針對幀數、幀長、協議、端口、標識位、IP路由、物理路徑、CPU/RAM消耗、寬帶占用等進行監測，并基于時間、拓撲、節點等多種統計分析手段，建立流量行為輪廓和學習模型來識別流量異常情況，進而判斷并識別0Day漏洞攻擊等。

• 數據防泄漏技術：針對資料外傳的風險，一般可采用加密和資料外泄防護 (DLP)技術，將關鍵、敏感、機密的數據加密，是降低數據外泄風險的一種方法，DLP 可提供一層額外的防護來防止數據外泄。然而，這類工具通常很復雜，而且有些部署條件，例如：數據要分類，要定義政策和規則等。

• 大數據分析技術：APT攻擊防御離不開大數據分析技術，無論是網絡系統本身產生的大量日志數據，還是SOC安管平臺產生的大量日志信息，均可以利用大數據分析技術進行大數據再分析，運用數據統計、數據挖掘、關聯分析、態勢分析等從記錄的歷史數據中發現APT攻擊的痕跡，以彌補傳統安全防御技術的不足。

應對緩沖區溢出該采取以下措施：

• 嚴格編寫程序代碼：借助工具來協助程序開發者解決緩沖區溢出，但是可是由于C語言的本身特點，這些工具不能找出所有的緩沖區溢出漏洞，因此偵錯技術只是被用來減少緩沖區溢出漏洞，并不能完全消滅，想要完全消滅這類漏洞，就需要程序員嚴格編寫代碼。

• 禁止執行堆棧數據段：在進行系統操作時數據地址空間不可執行，從而禁止攻擊者執行被植入的攻擊代碼，這種措施在一定的程度上也對緩沖區溢出攻擊起到了防范作用。但是攻擊者不一定非要通過植入攻擊代碼來實現緩沖區溢出攻擊，所以這種方法并不能徹底解決緩沖區溢出攻擊。

• 利用程序編譯器的邊界檢查：植入攻擊代碼時引起緩沖區溢出攻擊的一個方面，改變程序執行的流程則是另一個方面，而利用程序編譯器的邊界檢查則使得緩沖區溢出攻擊不可能實現，從而完全消除了緩沖區溢出攻擊的威脅。

• 指針完全性檢查：程序指針完整性檢查和邊界檢查略有不同，程序指針完整性檢查在程序指針被改變之前檢測，因此即使攻擊者成功改變了程序的指針，也會因為先前檢測到指針的變化而失效，這樣雖然不能完全解決問題，但是他確實阻止了大多數的緩沖區溢出攻擊，并且這種方法在性能方面有很大優勢，兼容性特別優良。

• 及時修補漏洞：攻擊者利用緩沖區溢出的主要攻擊手段就是利用服務器程序、數據庫程序、操作系統等的漏洞，所以及時修補這些漏洞可以從根本上解決緩沖區溢出的問題，這種漏洞可以通過打補丁、升級軟件等方法來解決。

NAT技術本存在以下缺點：

• 一些應用層協議的工作特點導致了它們無法使用NAT技術。當端口改變時，有些協議不能正確執行它們的功能。

• 靜態NAT技術僅僅在一對一的基礎上替換IP包頭中的IP地址，應用層協議數據包所包含的相關地址并不能同時得到替換。如果希望提高安全性，應該考慮使用應用層代理服務來實現。

• 對于動態NAT技術，在內部主機建立穿越防火墻的網絡連接之前，相應的NAT映射并不存在。外部網絡主機根本沒有到達內部主機的路徑，因此內部網絡主機完全被屏蔽，不會受到攻擊，但是無法阻止內部用戶主動連接黑客主機。如果內部主機被引誘連接到一個惡意外部主機上，或者連接到一個已被黑客安裝了木馬的外部主機上，它將完全暴露，就像沒有防火墻一樣容易被攻擊。

• 狀態表超時問題。當內部主機向外部主機發送連接請求時，動態NAT映射表的內容動態生成。NAT映射表條目有一個生存周期，當連接中斷時，映射條目清除，或者經過一個超時值（這個超時值由各個防火墻廠商定義）后自動清除。從理論上講，在超時發生之前，攻擊者得到并利用動態網絡地址翻譯地址映射的內容是有可能的，盡管十分困難。

• 影響性能。轉換數據包報頭內的每個 IP 地址需要時間，因此 NAT 會增加交換延遲。第一個數據包采用過程交換，意味著它始終經過較慢的路徑。路由器必須查看每個數據包，以決定是否需要轉換。路由器需要更改 IP 報頭，甚至可能要更改 TCP 或 UDP 報頭。如果緩存條目存在，則其余數據包經過快速交換路徑，否則也會被延遲。

根據規定防火墻、服務器等設備的日志要保證保存365天，以保證可以拿來做突發事件或者延續時間很長的那種入侵檢測的參考依據，但根據防火墻型號和flash空間不同如果存儲空間已滿后續日志會自動覆蓋以前的日志，但要保證日志存儲時間為一年。

建議把防火墻的日志保存在服務器上或者存放在專門的日志存儲設備中，有的防火墻有硬盤，或者可以擴展不同容量的硬盤，而有的不可以擴展硬盤則會導致日志存儲過的導致影響防火墻性能。

互聯網安全架構設計原則有以下這些：

• 縱深防御原則：整個企業的安全架構是由多層次的安全域和對應的安全機制構成的，要保護關鍵數據，需要層層設防，層層包圍，這樣就不太可能被攻擊者得手一點就全部失守。從產品設計層面來講，即使軟件依賴的外層系統安全機制破壞時，仍然能保障應用自身數據的安全性，例如在iOS越獄的環境下，系統沙箱失效而應用的數據使用自加密。在HTTPS被劫持的狀態下，仍然能保證post數據中的敏感信息難以破解。

• 多維防御原則：對同一種攻擊有多種維度的防御和檢測手段，逃過一層還有額外機制，例如，對抗SQL注入，第一層WAF，第二層Web日志分析，第三層RASP，第四層SQL審計。又譬如從SDL環節來看多維防御漏洞第一層是靜態代碼掃描，第二層是編譯過程，第三層是運行時保護，確保的是當其中一層失效時還不至于功虧一簣。

• 降維防御原則：降維防御是針對降維攻擊而言的，大意是在攻擊者不可達、不可控、無感知的更底層進行檢測和攔截。例如在內核態檢測用戶態攻擊，使用RASP在運行時而不是在cgi層面檢測webshell, HIDS的攻擊檢測不在本機判定，而是在云端計算，入侵者對其無感知。

• 實時入侵檢測原則：實時入侵檢測偏重的是事中進行時的檢測能力而不是事后的指標。大規模IDC下，例如10萬多臺服務器規模仍然能做到30分鐘以內即時告警，對正在進行中的入侵活動實時發現，例如攻擊者剛上傳了webshell就能立即告警，而不是等入侵活動階段性結束，攻擊者裝了rootkit才告警。

• 伸縮性、可水平擴展原則：因為互聯網的業務架構本身追求水平擴展，所以傳統上支持幾千個節點的產品，如QRadar、Arcsight等在互聯網環境下基本無用武之地。不能隨業務增長而擴展的安全解決方案是一個致命傷。任何安全手段，無論是WAF、HIDS，還是IPS，只要不能水平擴展，就一定不是好的解決方案。

• 支持分布式IDC原則：互聯網公司的生產網絡一般是多IDC部署，傳統的單層C/S架構往往只能解決一個IDC中服務器集中管控的情況。對于海量IDC規模，需要支持去中心化，多級部署，解決一系列的失效、冗余和可用性問題。

• 支持自動化運維原則：服務器數量一多，不能自動化運維就不具有實際可操作性、可維護性。例如10萬臺服務器的安全Agent如果不能自動化分發、自動注冊、報告狀態，統一策略推送，那就會變成災難。

• 低性能損耗原則：安全解決方案理論上有很多種可能。從架構設計的角度講，可以hook內核，可以hook庫函數，可以hook運行時容器，可以埋很多點，做很多的檢測和限制，或者安全工程師可以要求從用戶瀏覽器到反向代理到應用服務器，到數據庫的連接全部走SSL/TLS加密。

• 業務無感知原則：所謂業務無感知就是安全方案的落地盡可能地對業務側：不斷網、不改變拓撲、不改變業務邏輯、無性能損耗。無縫集成有時也是這個意思。

• 去信息孤島原則：傳統解決方案中單個安全設備注重解決“自己的事”。例如IPS只關注網絡而不關注其他，而互聯網環境下單點的安全檢測和防御是不行的，信息不能封閉在一個程序或設備中，必須可聯動，可關聯。IOC的信息必須在企業內部做到兼容、共享和流通，這也是多維和縱深防御的一個前提。