防火墻有：

• Windows Defender防火墻

Windows Defender防火墻（別名：windows守衛者）是微軟公司自主研發的一款基于windows自身保護的一款系統。

• 360木馬防火墻

360木馬防火墻獨立版提取自360安全衛士的功能大全組件，內建入口防御、隔離防御和系統防御三大功能，能夠阻擋所有有木馬行為的軟件向網絡發送信息，保證你電腦的信息安全。

• 瑞星個人防火墻

瑞星個人防火墻2012版以瑞星最新研發的變頻殺毒引擎為核心，通過變頻技術使電腦得到安全保證的同時，又大大降低資源占用，讓電腦更加輕便。

• Norman Personal Firewall

這款世界排名前三的防火墻軟件，不僅防御能力十分出色，而且軟件小，占用內存空間少，能夠有效的阻止“Leaktest”、“Firehole”等外部攻擊，界面簡潔經典的左右布局，功能分布邏輯感強，各種實時統計信息實時查看，就算是計算機小白也可以輕松使用。

• Zone Aarm Firewall

這款美國軟件公司推出的防火墻軟件，一直居于國外防火墻軟件下載的第一名，它只有2M多，但是功能卻十分強大，秒殺一眾國內外防火墻軟件。它可以阻斷黑客的各種侵入方式，未經過你授權的內部網絡通信將被攔截，實時監控和處理那些釣魚鏈接、病毒郵件等，防止個人銀行卡密碼等信息的外流。

• 卡巴斯基防火墻

卡巴斯基的防火墻是基于卡巴斯基殺毒軟件的一個功能，它主要提供了木馬查殺、應用程序過濾、網絡信息的過濾等主動防御機制。

• H3C防火墻

這個的品牌認同率會高一些，而且華三的科技科研水平也是非常的高的，這個品牌的使用也是我國比較受歡迎的一款產品，相對而言會貴一些。這個產品的性能在消費者的使用中，評價也是非常好的。

• 華為防火墻

華為企業級別的防火墻，這個防火墻的等級是比較好的，而且這個是屬于企業級別的，這個防火墻一般使用的場所就是企業辦公室會比較常用一些，主要也是對這個品牌比較放心，因為企業的網絡里是有著很多的機密的，所以更需要重視網絡安全問題，這個華為的防火墻還是在企業里比較受歡迎的一個。

• 天網防火墻

天網專為小型辦公室/機構的內部網絡而設計的天網防火墻墻部門級，功能全面，集高安全性及高可用性于一身，使用簡單靈活。能夠有效抵御來自互聯網的各種攻擊，保障內部網絡正常服務。

反病毒軟件有：

• Avira小紅傘（適用于Windows、Mac設備）

憑借一貫可靠的性能和易于使用的工具，Avira（小紅傘）始終是用戶的重要選擇之一。在AV-Comparatives最新公布的殺毒軟件測試結果中，Avira（小紅傘）專業版獲得了99.9%的保護率，在同類免費版本中高居榜首。

• Windows Defender

Windows Defender 是集成在 Windows 10 系統中的反惡意軟件引擎，它主要用于保護您的設備和數據免受病毒、勒索軟件、間諜軟件和一些其他安全威脅的侵害。

• AVG

AVG殺毒軟件來自捷克，其用戶超過1.1億，免費版本不占電腦資源。作為另外一款廣受歡迎的產品，AVG的威脅保護評分為99.6%。雖然該產品會提供一些不必要的東西：例如系統清理以及手機殺毒等，但是其核心產品還是極好的。

• eScan 反病毒工具包（適用于Windows設備）

eScan 反病毒工具包是由MicroWorld公司開發的，用于診斷你的設備是否被病毒感染，清除、改善由于病毒造成的注冊表和系統中的混亂狀況等。該工具包與其他產品的不同之處在于，它不需要進行安裝，只要下載完成就可以直接運行。這就意味著你可以通過USB驅動器運行它，或者即使你已經有另外一款殺毒軟件在運行了，還是可以繼續運行它。

• 360殺毒

當前功能最強大/最有效的Internet安全殺毒軟件，領先的Internet安全公司之一，國內十大殺毒軟件北京奇虎科技。

• 金山毒霸

中國領先的殺毒軟件產品和服務提供商，十大家用殺毒軟件，中國最知名的殺毒軟件公司之一，金山毒霸互聯網技術。

數據包過濾是通過對數據包的 IP 頭和 TCP 頭或 UDP 頭的檢查來實現的，主要信息有：

• IP 源地址

• IP 目標地址

• 協議（TCP 包、UDP 包和 ICMP 包）

• TCP 或 UDP 包的源端口

• TCP 或 UDP 包的目標端口

• ICMP 消息類型

• TCP 包頭中的 ACK 位

• 數據包到達的端口

• 數據包出去的端口

在 TCP/IP 中，存在著一些標準的服務端口號，例如，HTTP 的端口號為 80。通過屏蔽特定的端口可以禁止特定的服務。包過濾系統可以阻塞內部主機和外部主機或另外一個網絡之間的連接，例如，可以阻塞一些被視為是有敵意的或不可信的主機或網絡連接到內部網絡中。

主機安全測評主要包括訪談，現場檢查和測試3種方式。

1.訪談是指測評人員通過引導信息系統相關人員進行有目的的(有針對性的)交流以幫助測評人員理解，澄清或取得證據的過程。管理員，安全管理員，安全審核員，主機使用人員等針對主機測評所要求的訪談內容進行詢問和調查，并根據訪談收集的信息進行主機安全性的分析判斷。

2.檢查是指測評人員通過測評對象(如制度文檔，各類設備，安全配置)進行觀察，查驗，分析以幫助測評人員理解，消除或獲取證據的過程。情況，依據主機安全現場檢查表單和作業指導書，對信息系統中的主機安全狀況進行實地核查。其中，主要包括2個方面:

• 一是對所提供的主機安全相關技術文檔資料進行檢查分析;

• 二是針對主機安全配置要求，登錄各個相關主機，運用主機操作指令和工具進行安全狀態數據的提取和分析。

采用抽查的方式進行現場檢查。

3.測試是指測評人員使用預定的方法/工具使測評對象(各類設備或安全配置)產生特定的結果，以將運行結果與預期的結果進行比對的過程。主機故障掃描主要針對被測評的主機實現操作系統漏洞性掃描，重要文件， 目錄脆弱性掃描，瀏覽器漏洞性掃描，網絡服務脆弱性掃描，其他通用服務脆弱性掃描， 用戶， 組重組脆弱性掃描，文件共享能弱性掃描，數據庫脆弱性掃描等安全測試工作:主機安全檢測到主要對被測評的主機進行安全配置檢查，檢查主機操作系統，數據庫。虛擬化軟件等是否符合用戶的安全規定要求:主機滲送測試完全模擬黑客可能使用的攻擊技術和突破發現技術，對被測評的主機做深入的安全探測，以發現主機所存在的安全問題。

中小企業應對網絡威脅的建議有：

• 在授予員工對資源或服務的訪問權限時，應該遵循最小權限原則。也就是說，員工必須擁有最低限度的訪問權限——僅足以執行他們的任務；

• 準確了解中小型企業的重要信息存儲在哪里，以及誰有權訪問它。由此，在雇用新員工時制定指導方針，包括明確定義每個員工需要哪些賬戶，以及哪些賬戶應該僅限于某些角色；

• 成熟的企業網絡安全文化有助于防范網絡威脅。例如，可以從為員工創建網絡安全手冊開始，以便每個人都能保持認知同步；

• 所有密碼都必須存儲在安全的密碼管理器中。這將幫助員工不會忘記或丟失它們，并最大限度地減少外人訪問企業賬戶的機會。此外，還應盡可能使用雙因素身份驗證機制；

• 建議員工在離開辦公桌時鎖定計算機，應該讓員工記住辦公室可以被各種第三方訪問，包括快遞員、客戶、分包商或求職者等；

• 考慮安裝防病毒軟件以保護設備免受病毒、木馬和其他惡意程序的侵害。

涉密信息系統建設管理要點有以下這些：

• 詳細分工，明確責任：在實施涉密信息系統分級保護工作時，信息化主管部門具體承擔組織工作。應充分利用熟悉技術的特點，按照分級保護技術要求和管理規范，組織設計符合保密要求的分級保護方案。建設單位的保密委員會應對總體方案進行監督、檢查和指導，組織專家進行評審論證。

• 加強信息化主管部門和保密主管部門的溝通協調：涉密信息系統分級保護工作涉及多個主管部門：在信息技術方面，要與信息化主管部門多溝通，由其提出前瞻性、指導性的意見和方案，爭取信息技術方面的支持和指導；在安全保密方面，應多與保密主管部門溝通，爭取整個工程實施中的監督和檢查。通過多個部門的通力配合，確保工程實施的規范和標準。

• 項目引入工程監理、信息安全風險評估機制：按照《涉及國家秘密的信息系統工程規范》BMB18-2006、《涉及國家秘密的信息系統分級保護技術要求》BMB17-2006等涉密技術標準和國家法律法規及相關的國家標準規范，選擇具有國家保密局批準的涉密信息系統集成監理資質、信息產業部信息系統工程監理資質單位承擔項目監理工作，在項目招標階段、設計階段、施工階段、驗收階段等全過程進行質量控制、進度控制、投資控制、合同及信息管理，組織協調等監理工作。按照國家標準GB/T20984—2007《信息安全技術信息系統風險評估規范》及相關技術標準，由專業風險評估機構信息安全工程師，對項目方案進行風險評估，對項目方案中所提供的安全功能符合性進行客觀判斷，同時對方案中設計的信息系統的風險接受程度進行評估，科學、客觀的評價項目方案存在的風險和威脅，為涉密信息系統分級保護方案的設計提供依據。

• 項目實行方案論證制度：在調研的基礎上，項目實行方案形成初稿后，分別由項目監理人員與信息安全風險評估人員，對方案評審，并依據評審意見進行多次修訂。最后組織專家對方案進行技術可行性和安全保密可行性論證，確保項目的成功實施。

• 日常運行維護規范化：為保證涉密信息系統的安全保密運行，保密委員會要聯合技術管理部門進行定期檢查。通過安全檢查和持續改進，不斷跟蹤涉密信息系統的變化，并依據變化進行調整，確保涉密信息系統滿足相應分級的安全要求，并處于良好安全狀態。通過運行管理和控制、變更管理和控制，對安全狀態進行監控，對發生的安全事件及時響應，對系統的運行維護流程進行規范，從而確保涉密信息系統正常運行。在安全運行及維護階段，當局部調整導致安全措施變化時，在不影響系統安全分級的前提下，可直接轉入工程實施階段，重新調整和實施安全措施，確保滿足分級保護的要求；當發生重大變更影響系統的安全分級時，應直接轉入系統定級階段，重新開始一次分級保護實施過程。

WireShark是一個網絡協議分析器(network protocol analyzer)。wireshark 工具應用包括：

• 網絡管理員會使用wireshark來檢查網絡問題。

• 軟件測試工程師使用wireshark抓包，來分析自己測試的軟件。

• 從事socket編程的工程師會用wireshark來調試。

• 華為，中興的大部分工程師都會用到wireshark。

網絡物理隔離類型分為以下這些：

• 雙機雙網隔離：雙機雙網隔離技術方案是指通過配置兩臺計算機來分別連接內網和外網環境，再利用移動存儲設備來完成數據交互操作，然而這種技術方案會給后期系統維護帶來諸多不便，同時還存在成本上升、占用資源等缺點，而且通常效率也無法達到用戶的要求。

• 雙硬盤隔離：雙硬盤隔離技術方案的基本思想是通過在原有客戶機上添加一塊硬盤和隔離卡來實現內網和外網的物理隔離，并通過選擇啟動內網硬盤或外網硬盤來連接內網或外網網絡。由于這種隔離技術方案需要多添加一塊硬盤，所以對那些配置要求高的網絡而言，就造成了成本浪費，同時頻繁地關閉、啟動硬盤容易造成硬盤的損壞。

• 單硬盤隔離：單硬盤隔離技術方案的實現原理是從物理層上將客戶端的單個硬盤分割為公共和安全分區，并分別安裝兩套系統來實現內網和外網的隔離，這樣就具有了較好的可擴展性，但是也存在數據是否安全界定困難、不能同時訪問內、外兩個網絡等缺陷。

• 集線器級隔離：集線器級隔離技術方案的一個主要特征在客戶端只需使用一條網絡線就可以部署內網和外網，然后通過遠端切換器來選擇連接內、外雙網，避免了客戶端要用兩條網絡線來連接內、外網絡。

• 服務器端隔離：服務器端隔離技術方案的關鍵內容是在物理上沒有數據連通的內、外網絡下，如何快速、分時地處理和傳遞數據信息，該方案主要是通過采用復雜的軟、硬件技術手段來在服務器端實現數據信息過濾和傳輸任務，以達到隔離內、外網的目的。

提高內網安全性方法如下：

1. 采用安全的交換機；

2. 使用正版操作系統經常更新補丁；

3. 對內部重要資料進行備份，如果有條件可以異地備份；

4. 使用代理網關；

5. 設置防火墻規則，盡可能詳細的設計規則可以大大加強內網安全；

6. 信息保密工作做好，做的外部u盤不能隨意接入內網，加強數據量信息的保密防護；

7. 安裝apt檢測系統、內網威脅感知系統、遠程安全評估系統等安全防護系統。

• 包過濾技術

包過濾技術依據的是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成 為一定大小的數據包，每一個數據包中都會包含一些特定信息 ，如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。

• 網絡地址轉化技術（NAT）

在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。 系統將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并 不知道內部網絡的連接情況，只是通過一個開放的IP地址和端口來請求訪問。 OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。

• 代理服務技術

代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器; 而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統。

• 狀態監測技術

監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計，在針對網絡系統的攻擊中，有相當比例的攻擊來自網絡內部。因此，監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品。

Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息。一個典型rootkit病毒包括以下程序：

• 以太網嗅探器程序：主要用于獲得網絡上傳輸的用戶名和密碼等信息；

• 特洛伊木馬程序：模仿木馬的功能，當計算機感染病毒后使用特洛伊木馬的功能留下后門以進行下一步攻擊；

• 隱藏攻擊者的目錄和進程的程序：隱藏攻擊者的一些攻擊痕跡，防止這些痕跡被殺毒軟件檢測到，加強病毒的存活時間和隱藏性；

• 日志清理程序：攻擊者使用這些清理程序刪除wtmp、utmp和lastlog等日志文件中有關自己行蹤的條目。

Aircrack-ng是一個802.11的WEP和WPA/WPA2-PSK破解程序。 一旦使用Airodump-ng抓取足夠多
的加密數據包以后，Aircrack-ng可以用來破解WEP密鑰。
Aircrack- ng破解WEP密鑰有3種方法，分別是: PTW方法、FMS/KoreK方法和詞典比對方法。
主要選項介紹如下:
(1) -a :強力攻擊模式(1/WEP, 2/WPA-PSK)。
(2)/-e :目標選擇:網絡標識符。
(3)-b :目標選擇:接入點的MAC。
(4) -p :使用的CPU (默認: 所有CPU)。
(5) -q :啟用靜音模式(無狀態輸出)。
(6)-C :將給定的AP合并到一個虛擬的AP。
(7)-l : 寫入文件密鑰。

Windows惡意用戶排查需要檢測以下這些內容：

• 檢測所有啟用賬戶是否有弱口令，遠程管理功能是否對外網開放。

• 檢查是否有可疑賬號、新增賬號，管理員組成員是否正確。這個可以在命令提示框中輸入lusrmgr.msc命令來查看是否有新增的可疑賬號。

• 查看服務器是否存在隱藏賬號、克隆賬號。這個可以通過注冊表或者使用一些工具來進行檢測。

• 結合日志，查看管理員登錄時間、用戶名是否存在異常。

DNS放大攻擊工作原理：

• 基本上大部分的放大攻擊是攻擊者通過許多請求然后將其放大以此來消耗目標Web資源間的帶寬。

• 通常黑客利用DNS服務器放大攻擊的特性，使用受損的被控僵尸主機將帶有欺騙性IP地址，然后利用DNS服務器向被攻擊者返回查詢的結果。

• 通常查詢應答數據包會比查詢請求數據包大數倍。導致被攻擊者的源服務器因為泛濫的流量而變得不堪重負，最終導致拒絕服務。

DNS放大攻擊的防御措施：

• 正確配置防火墻和網絡容量；

• 增大鏈路帶寬；

• 限制DNS解析器僅響應來自可信源的查詢或者關閉DNS服務器的遞歸查詢；

• 使用DDoS防御產品，將入口異常訪問請求進行過濾清洗，然后將正常的訪問請求分發給服務器進行業務處理。

阻斷計算機病毒傳播的措施有以下這些：

• 用戶具有計算機病毒防范安全意識和安全操作習慣；

• 消除計算機病毒載體。關鍵的計算機，做到盡量專機專用；

• 不要隨便使用來歷不明的存儲介質，如磁盤、USB;

• 安全區域隔離。重要生產區域網絡系統與辦公網絡進行安全分區，防止計算機病毒擴散傳播；

• 禁用不需要的計算機服務和功能，如腳本語言、光盤自啟動等；

• 用戶不要輕易運行未知可執行軟件，特別是不要輕易打開電子郵件的附件。

后滲透攻擊（PostExploitation）是整個滲透測試過程中最能夠體現滲透測試團隊創造力與技術能力的環節。前面的環節可以說都是在按部就班地完成非常普遍的目標，而在這個環節中，需要滲透測試團隊根據目標組織的業務經營模式、保護資產形式與安全防御計劃的不同特點，自主設計出攻擊目標，識別關鍵基礎設施，并尋找客戶組織最具價值和嘗試安全保護的信息和資產，最終達成能夠對客戶組織造成最重要業務影響的攻擊途徑。

滲透測試中常用信息收集辦法如下：

• 利用在URL中對大小寫敏感來判斷是Windows服務器還是Linux服務器。Linux操作系統大小寫敏感，我們將網址url一些字母修改成修改大小寫看網站是否還能正常訪問，能訪問就是windows服務器，不能則是Linux；

• 通過ping操作系統判斷TTL返回值來判斷操作系統；

• 利用nmap工具對目標進行掃描判斷操作系統版本和端口開放數量；

• 使用指紋識別在線網站如云悉指紋、WhatWeb等在線網站查看指紋；

• 利用瀏覽器插件來收集網站容器和腳本類型；

• 利用網上已有社工庫或者私有社工庫來查詢已經泄露的密碼。