IIS

Internet Information Services（IIS，互聯網信息服務），是由微軟公司提供的基于運行Microsoft Windows的互聯網基本服務。最初是Windows NT版本的可選包，隨后內置在Windows 2000、Windows XP Professional和Windows Server 2003一起發行，但在普遍使用的Windows XP Home版本上并沒有IIS。

IIS是Internet Information Services的縮寫，是一個World Wide Web server。Gopher server和FTP server全部包容在里面。 IIS意味著你能發布網頁，并且有ASP（Active Server Pages）、JAVA、VBscript產生頁面，有著一些擴展功能。IIS支持一些有趣的東西，象有編輯環境的界面（FRONTPAGE）、有全文檢 索功能的（INDEX SERVER）、有多媒體功能的（NET SHOW） 其次,IIS是隨Windows NT Server 4.0一起提供的文件和應用程序服務器，是在Windows NT Server上建立Internet服務器的基本組件。它與Windows NT Server完全集成，允許使用Windows NT Server內置的安全性以及NTFS文件系統建立強大靈活的Internet／Intranet站點。IIS（Internet Information Server，互聯網信息服務）是一種Web（網頁）服務組件，其中包括Web服務器、FTP服務器、NNTP服務器和SMTP服務器，分別用于網頁瀏 覽、文件傳輸、新聞服務和郵件發送等方面，它使得在網絡（包括互聯網和局域網）上發布信息成了一件很容易的事。

Apache

Apache(音譯為阿帕奇)是世界使用排名第一的Web服務器軟件。它可以運行在幾乎所有廣泛使用的計算機平臺上，由于其跨平臺和安全性被廣泛使用，是最流行的Web服務器端軟件之一。它快速、可靠并且可通過簡單的API擴充，將Perl/Python等解釋器編譯到服務器中。

Apache HTTP Server（簡稱Apache）是Apache軟件基金會的一個開放源碼的網頁服務器，可以在大多數計算機操作系統中運行，由于其多平臺和安全性被廣泛使用，是最流行的Web服務器端軟件之一。它快速、可靠并且可通過簡單的API擴展，將Perl/Python等解釋器編譯到服務器中。

Apache HTTP服務器是一個模塊化的服務器，源于NCSAhttpd服務器，經過多次修改，成為世界使用排名第一的Web服務器軟件。

它可以運行在幾乎所有廣泛使用的計算機平臺上。

iis 和 apache 哪個安全？

穩定性

穩定性是web服務器不間斷運行的根本。對于一個網站來說也是尤為重要的。在正常的運載過程中,IIS的穩定性稍遜于Apache,如果保持長時間的運行而不重啟的情況下,偶爾會出現500錯誤,甚至還有可能出現莫名的假死情況。要解決這一問題用戶可以不定期的重啟一下,這種情況將會有所好轉。反觀Apache則表現的非常穩定。

安全性

安全性是所有服務應用的重中之重。而且當前各種莫名的攻擊大肆侵略著各種不同的服務器。早期的IIS在安全性上有所欠缺,不過隨著微軟公司的完善,各種補丁更新的升級,盡可能的提高了網站安全性上。Apache得益于先天的優勢,一般用戶都會在Linux環境下運行Apache,所以安全性自然也沒得說。安全性的話,Apache和IIS可以說是旗鼓相當。

難易度

一款軟件應用的上手難度直接影響著用戶群體的大小。IIS自然不用多說,微軟公司一直都是以易操作的圖形化深得人心。上手操作、發布網站比較簡單快捷。但是,要想精通的話還是挺困難的。APACHE則比IIS難上許多,首先一定要具備基礎的計算機及互聯網知識。所以說,IIS在這個環節上優勢巨大。這也是這兩者拉開差距的最大因素。

擴展性

IIS只能在windows環境下運行,拓展性可想而知,脫離的windows它將一事無成。不過運行ASP和.net非常優秀。而Apache自然無需多說,開放的源代碼,拓展能力極強。支持幾乎所有的語言。這個環節Apache完勝。

• 建立原始信息收集制度

  一切與組織活動有關的信息，都應準確毫無遺漏地收集。為此，要建立相應的制度，安排專人或設立專門的機構從事原始信息收集的工作。在組織信息管理中，要對工作成績突出的單位和個人給予必要的獎勵，對那些因不負責任造成信息延誤和失真，或者出于某種目的胡編亂造、提供假數據的人，要給予必要的處罰。

• 規定信息渠道

  在信息管理中，要明確規定上下級之間縱向的信息通道，同時也要明確規定同級之間橫向的信息通道。建立必要的制度，明確各單位、各部門在對外提供信息方面的職責和義務，在組織內部進行合理地分工，避免重復采集和收集信息。

• 提高信息的利用率

  信息的利用率，一般指有效的信息占全部原始信息的百分率。這個百分率越高，說明信息工作的成效越大。反之，不僅在人力、物力上造成浪費，還使有用的信息得不到正常的流通。因此，必須加強信息處理機構和提高信息工作人員的業務水平，健全信息管理體系，通過專門的訓練，使信息工作人員具有識別信息的能力。同時，必須重視用科學的定量分析方法，從大量數據中找出規律，提高科學管理水平，使信息充分發揮作用。

• 建立信息反饋系統

  信息反饋是指及時發現計劃和決策執行中的偏差，并且對組織進行有效地控制和調節，如果對執行中出現的偏差反應遲鈍，在造成較大失誤之后才發現，這樣就會給工作帶來損失。因此，組織必須把管理中的追蹤檢查、監督和反饋擺在重要地位，嚴格規定監督反饋制度，定期對各種數據、信息作深入地分析，通過多種渠道，建立快速而靈敏的信息反饋系統。

基于網絡的入侵檢測系統用原始的網絡包作為數據源，它將網絡數據中檢測主機的網卡設為混雜模式，該主機實時接收和分析網絡中流動的數據包，從而檢測是否存在入侵行為。基于網絡的IDS通常利用一個運行在隨機模式下的網絡適配器來實時檢測并分析通過網絡的所有通信業務他的攻擊辨識模塊。

入侵檢測系統的工作原理如下：

• 數據收集：收集的數據包括主機日志、防火墻日志、數據庫日志、應用程序數據以及網絡數據包等；

• 數據處理：由于之前收集到的數據過于龐大和繁雜，需要對其進行相應的處理（去除冗余、噪聲，并且進行數據標準化及格式化處理）；

• 數據分析：采用統計、智能算法能方法分析數據是否正常，顯示是否存在入侵行為；

• 響應處理：當發現入侵行為時，采取預案措施進行防護（如切斷網絡，記錄日志）、并保留入侵證據以作他日調查所用，同時向管理員報警。

企業購買漏洞掃描器需要考慮：

• 底層技術：該掃描器使用的是被動掃描還是主動掃描技術，是基于主機掃描還是基于網絡掃描，這個是選擇掃描器的重點；

• 漏洞庫：漏洞庫內的漏洞數量夠多、夠新嗎，漏洞庫支持定期更新嗎，但不是漏洞庫數量越多能力就越強；

• 易用性：上手使用時容易操作嗎，學習使用需要花費多少時間；

• 報告質量：考慮生成的報告的特性、內容是否全面、是否可配置、是否可定制、報告的格式、輸出方式等；

• 對漏洞修復建議：是否只報告存在哪些問題、是否會告訴您應該如何修補這些漏洞；

• 性能：考慮內存大小、硬盤大小、CPU版本，建議一次選擇到合適性能減少后期更新；

• 價格：這個看個人主觀要求了，看該價格是否滿足自身預算；

網絡安全保障體系架構包括以下部分：

• 網絡安全策略：屬于整個體系架構的頂層設計，起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念，從長遠發展規劃和戰略角度整體規劃網絡安全建設。

• 網絡安全政策和標準：是對網絡安全策略的逐層細化和落實，包括管理、運作和技術3個層面，各層面都有相應的安全政策和標準，通過落實標準政策規范管理、運作和技術，保證其統一性和規范性。當三者發生變化時，相應的安全政策和標準也需要調整并相互適應，反之，安全政策和標準也會影響管理、運作和技術。

• 網絡安全運作：基于日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復），是網絡安全保障體系的核心，貫穿網絡安全的始終；也是網絡安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

• 網絡安全管理：對網絡安全運作至關重要，從人員、意識和職責等方面保證網絡安全運作的順利進行。網絡安全通過運作體系實現，而網絡安全管理體系是從人員組織的角度保證正常運作，網絡安全技術體系是從技術角度保證正常運作。

• 網絡安全技術：網絡安全運作需要網絡安全基礎服務和基礎設施的及時支持。先進完善的網絡安全技術可極大地提高網絡安全運作的有效性，從而達到網絡安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防范和控制。

網絡安全保障實施措施：

• 建立健全網絡安全保障制度、信息安全保密制度、用戶信息安全管理制度。建立健全單位負責人、網絡負責人、網絡維護人員三級信息安全責任制和審批制度。

• 建立專門的標準機房，放置網絡服務器，配備8小時以上的UPS及足夠功率的空調。

• 機房門窗安全、牢固，防撬防盜性能好，非工作人員不得隨意進入。

• 確保網絡服務器性能穩定、安全性好。可與專業網絡安全公司合作，做好安全策略，拒絕外來的惡意攻擊，保障網絡正常運行。

• 網絡服務器由技術人員負責管理及維護，每天負責查看系統日志，隨時解決可能出現的異常問題。

• 管理系統建立雙機熱備份機制，一旦主系統遇到故障或受到攻擊導致不能正常運行，保證備用系統能夠及時替換主系統提供服務。

• 關閉暫不使用的服務功能，定期消殺病毒。

• 采用集中式權限管理，系統管理員統一設置訪問權限并設置相應密碼和口令。不同操作人員設定不同的用戶名，且注意定期更換，嚴禁操作人員泄露自己的口令。

• 針對網絡設備、操作系統、數據庫及應用系統，排查管理賬戶口令復雜度不低于8位且至少包含大小寫字母及特殊字符中的3類（重點關注存在弱口令或默認口令），口令應定期或不定期更換。

• 針對網絡設備，操作系統，數據庫及應用系統，排查登錄失敗處理功能是否有效，可采取結束會話，限制非法登錄次數和自動退出等措施。

• 對操作人員權限嚴格按照崗位職責設定，并由系統管理員定期排查，應實現管理用戶的權限分離，僅授予管理用戶所需最小權限。

• 定期排查操作系統、數據庫、中間件及其他第三方軟件是否更新最新補丁。

• 排查網絡邊界處及服務器具備監視木馬攻擊，拒絕服務攻擊，緩沖區溢出攻擊，IP碎片攻擊和網絡蠕蟲攻擊等。在發生嚴重入侵事件時應提供報警，且能夠記錄入侵的源IP，攻擊時間及攻擊類型等信息。

• 信息發布準人負責管理，并執行嚴格的保密制度，發布之前必須經過分管領導審核。

滲透測試通常指模擬黑客采用的漏洞發掘技術及攻擊方法，測試工程師對被測試單位的網絡、主機、應用及數據是否存在安全問題進行檢測的過程，對于一個網站進行高級滲透，一般需要十個工作日左右的工作量，需根據實際環境、需求細致評估。

滲透測試服務主要分為四個階段，包括測試前期準備階段、測試階段實施、復測階段實施以及成果匯報階段。

（1）前期準備階段

在實施滲透測試工作前，安全技術人員會和客戶對滲透測試服務相關的技術細節進行詳細溝通。確認滲透測試的方案，方案內容主要包括確認的滲透測試范圍、最終對象、測試方式、測試要求的時間等內容。同時，雙方完成簽約，簽署滲透測試授權書。

（2）測試階段實施

在測試實施過程中，安全技術人員首先使用自動化的安全掃描工具，完成初步的信息收集、服務判斷、版本判斷、補丁判斷等工作。

然后由人工的方式對安全掃描的結果進行人工的確認和分析，并且根據收集的各類信息進行人工的進一步滲透測試深入。

結合自動化測試和人工測試兩方的結果，安全技術人員整理滲透測試結果并編制滲透測試報告，包含存在漏洞及修復建議，對報告內容與客戶進行修復溝通。

（3）復測階段實施

在經過第一次滲透測試報告提交和溝通后，協助客戶針對滲透測試發現的問題整改或加固。經客戶方整改或加固完成后，安全技術人員進行復測。復測結束后提交復測報告和對復測結果與客戶進行溝通。

（4）成果匯報階段

根據兩次的測試結果，整理滲透測試工作輸出成果，做最后項目匯報。

遠控免殺工具有以下：

• TeamViewer免殺：一款可以穿透內網、完全免費、超級安全的遠程控制軟件。支持遠程開機、關機,遠程同步查看對方電腦屏幕，遙控鍵盤鼠標,遠程開啟攝像頭(可將視頻內容錄像)，遠程上傳、下載、修改文件，語音文字聊天等等。

• Veil免殺：是一個用python寫的免殺框架，可以將任意腳本或一段shellcode轉換成Windows可執行文件，還能利用Metasploi 框架生成相兼容的 ayload工具，從而逃避了常見防病毒產品的檢測。Veil的手工安裝比較費勁，好在有 docker 鏡像，可以直接 pull 回本地安裝使用。

• Venom免殺：利用msfvenom（metasploit）生成不同的格式的shellcode，如（c | python | ruby | dll | msi | hta-psh）等，然后將生成的shellcode注入一個模板（例如：python），并使用類似 gcc、mingw32 或 pyinstaller 之類的編譯器生成可執行文件。Venom 的一些功能還會直接調用 Veil-Evasion.py，unicorn.py，powersploit.py 等來直接創建免殺程序，避免重復造輪子。

• Shellter免殺：是一個開源的免殺工具，利用動態Shellcode注入或者命令來實現免殺的效果。Shellter安裝非常簡單，使用也非常便捷，而且生成的payload免殺效果也都比較好，windows和linux下都可以使用，實在是居家旅行必備良藥。我是用的自動模式進行生產payload, 你可以根據自己的需要進行手動配置，這樣生成的payload免殺效果會更好。

• BackDoor-Factory免殺：又稱后門工廠 (BDF)，BDF 是也是一款老牌的免殺神器，其作者曾經在 2015 年的 blackhat 大會上介紹過該工具。該工具還有很強大的一些其他功能，比如加私鑰證書、CPT 等等。

• Avet免殺：全稱 AntiVirus Evasion Tool，2017 年在 blackhat 大會上公開演示，可對 shellcode，exe 和 dll 等多種載荷進行免殺處理，使用了多種不同的免殺技術，具有較好的免殺效果，據說在 blackhat 大會上演示時免殺效果震撼全場。

• TheFatRat免殺：TheFatRat 創建的后門或者 payload，可以在 Linux，Windows，Mac 和 Android 上等多種平臺上執行，可生成 exe、apk、sh、bat、py 等多種格式。TheFatRat 可以和 msf 無縫對接，并且集成內置了 Fudwin、Avoid、backdoor-factory 等多個免殺工具，對 powershell 的免殺姿勢尤其多樣。TheFatRat 創建的后門格式和支持的平臺比較多樣化，而且還支持生成 CDROM/U 盤中能自動運行 (生成 AutoRun 文件) 的后門文件，并且可以對 payload 更改圖標，具有一定偽裝效果。

• Avoidz免殺：avoidz是一個比較使用比較簡單的小工具，利用 msf 生成 powershell 的 shellocde，然后利用 c#、python、go、ruby 等語言對 shellcode 進行編譯生成 exe 而達到免殺的效果。

• AVIator免殺：使用 AES 加密來加密給定的 Shellcode 加密，生成一個包含加密有效負載的可執行文件，然后使用各種注入技術將 shellcode 解密并注入到目標系統，從而繞過殺毒軟件的檢測。

• DKMC免殺：Don’t Kill My Cat (DKMC) 的簡稱，谷歌翻譯為”不要殺害我的小貓咪”，這個名字也是挺少女心的…DKMC 是一種生成混淆的 shellcode 的工具，并把 shellcode 合成到圖像文件中，最終依靠 PowerShell 執行最終的 shellcode 有效負載。

• Unicorn 免殺：Magic Unicorn 是一個比較簡單的小工具，主要是基于 Matthew Graeber 提出的 PowerShell 攻擊技術以及 David Kennedy 和 Josh Kelly 提出的 powershell bypass 技術，把所有 payload 都轉換成 powershell 代碼。Magic Unicorn 支持 cobalt strike、Metasploit 和自定義的 shellcode。

• Python-Rootkit免殺：2017 年開源的一款工具，當時號稱 Bypass all anti-virus，主要是對 python 代碼進行多次編碼，然后利用 py2exe 把 python 代碼打包成 exe，其實最終執行的是 powershell 命令，使用了 PowerSploit 的 Invoke-Shellcode.ps1 來反彈 msf 的 shell。程序還添加了后門持續化的功能，大體就是 10 秒鐘檢測一次連接是否正常，如果連接不存在就再重連 msf，另外還使用了注冊表添加了自啟動項。

網絡感知層安全可以提供以下安全服務：

• 保密性服務：保密性是無線傳感器網絡軍事應用中的重要目標。在民用系統中，除了部分隱私信息，比如屋內是否有人居住、人員居住在哪些房間等信息需要保密，很多探測（溫度探測）或警報信息（火警警報）并不需要保密。

• 完整性服務：完整性是無線傳感器網絡安全最基本的需求和目標。雖然很多信息不需要保密，但是這些信息必須保證沒有被篡改。完整性目標能杜絕虛假警報的發生。

• 鑒別和認證服務：對于無線傳感器網絡，組通信是經常使用的通信模式，例如，基站與傳感器節點間的通信使用的就是組通信。對于組通信，源端認證是非常重要的安全需求和目標。

• 可用性服務：可用性也是無線傳感器網絡安全的基本需求和目標。可用性是指安全協議高效可靠，不會給節點帶來過多的負載導致節點過早消耗完有限的電能。

• 容錯性服務：容錯與安全相關，也可以稱為是可用性的一個方面。當一部分節點失效或者出現安全問題時，必須保證整個無線傳感器網絡的正確和安全運行。

• 不可否認性服務：在某些應用中，不可否認也是無線傳感器網絡安全的重要安全目標。利用不可否認性，節點發送過的信息可以作為證據，證明節點是否具有惡意或者進行了不符合協議的操作。但是，由于傳感器的計算能力很弱，該不可否認性不能通過傳統的非對稱密鑰的方式來完成。

• 擴展性服務：傳感器網絡中節點數量大，分布范圍廣，實際情況的變化可能會影響傳感器網絡的部署。同時，節點經常加入或失效也會使網絡的拓撲結構不斷發生變化。傳感器網絡的可擴展性表現在傳感器節點數量、網絡覆蓋區域、生命周期、感知精度等方面的可擴展性級別。因此，給定傳感器網絡的可擴展性級別，安全保障機制必須提供支持該可擴展性級別的安全機制和算法，來使傳感器網絡保持正常運行。

常用的計算機網絡病毒防治技術措施有以下這些：

• 系統加固：許多計算機病毒都是通過系統漏洞進行傳播的，如利用Windows操作系統漏洞的蠕蟲病毒、利用Outlook服務軟件漏洞的郵件病毒、利用Office漏洞的宏病毒。所以，構造一個安全的系統是國內外專家研究的熱點。常見的系統加固工作主要包括安裝最新補丁、禁止不必要的應用和服務、禁止不必要的賬號、去除后門、內核參數及配置調整、系統最小化處理、加強口令管理、啟動日志審計功能等。

• 系統監控：系統監控技術主要指對系統的實時監控，包括注冊表監控、腳本監控、內在監控、郵件監控、文件監控等。實時監控技術能夠始終作用于計算機系統，監控訪問系統資源的一切操作，并能夠對其中可能含有的計算機病毒進行清除。現在，大多數殺毒軟件和工具都具有實施監測系統內存、定期查殺系統磁盤的功能，并可以在文件打開前自動對文件進行檢查。

• 軟件過濾：軟件過濾的目的是識別某一類特殊的病毒，以防止它們進入系統和復制傳播。這種方法已被用來保護一些大、中型計算機系統。例如，國外使用的一種T-cell程序集，對系統中的數據和程序用一種難以復制的印章加以保護，如果印章被改變，系統就認為發生了非法入侵。又如，Digital公司的一些操作系統采用CA-examine程序作為病毒檢測工具主要用來分析關鍵的系統程序和內存常駐模塊，能檢測出多種修改系統的病毒，它采用專家系統對系統參數進行分析，以識別系統的不正常處和未經授權的改變。

• 文件加密：文件加密是將系統中可執行文件加密，以避免病毒的危害。可執行文件是可被操作系統和其他軟件識別和執行的文件。若病毒不能在可執行文件加密前感染該文件，或不能破譯加密算法，則混入病毒代碼的文件不能執行。即使病毒在可執行文件加密前感染了該文件，該文件解碼后，病毒也不能向其他可執行文件傳播，從而杜絕了病毒復制。文件加密對防御病毒十分有效，但由于系統開銷較大，目前只用于特別重要的系統。

• 備份恢復：備份恢復是在病毒清除技術無法滿足需要的情況下，不得不采用的一種防范技術，當系統文件被病毒侵染，可用事先備份的正常文件覆蓋被感染后的文件，達到清除病毒的目的。隨著計算機病毒攻擊技術越來越復雜，以及計算機病毒數量的爆炸性增長，清除技術遇到了發展瓶頸，數據備份恢復成為保證數據安全的重要手段。

• 個人防火墻：個人防火墻通過監測應用程序向操作系統發出的通信請求，進行應用程序級的訪問控制，根據用戶定義的規則，決定允許或拒絕該應用程序的網絡連接請求，從而阻止由內到外或由外到內的威脅，彌補防病毒軟件的不足。個人防火墻可以有效阻止蠕蟲、木馬和間諜軟件的非法數據連接和攻擊。

IP地址中的一類比較特殊，被稱為私有IP地址。在現在的網絡中，IP地址分為公網IP和私有IP地址。公網IP是在Internet使用的IP地址，而私有IP地址是在局域網中使用的IP地址。專用 IP 地址被分配用于內部網。這些地址用于內部網絡，不能在外部公共網絡上路由。這些確保內部網絡之間不存在任何沖突，同時私有 IP 地址的范圍同樣可重復使用于多個內部網絡，因為它們不會“看到”彼此。

IP地址的作用如下：

• 用IP地址來標識Internet的主機，在每個IP數據報中，都會攜帶源IP地址和目標IP地址來標識該IP數據報的源和目的主機。IP數據報在傳輸過程中，每個中間節點(IP 網關)還需要為其選擇從源主機到目的主機的合適的轉發路徑(即路由)。IP協議可以根據路由選擇協議提供的路由信息對IP數據報進行轉發，直至抵達目的主機。

• IP地址和MAC地址的匹配，ARP協議。數據鏈路層使用MAC地址來發送數據幀，因此在實際發送IP報文時，還需要進行IP地址和MAC地址的匹配，由TCP/IP協議簇中的ARP(地址解析協議)完成。

• 區分數以億計的主機而分配的專門地址，所以他的主要作用是為了區別不同的主機。

• IP地址從字面看，它具有定位的作用，他的定位原則取決于它的分配原則，IP地址查詢就是基于此。

漏洞掃描系統部署方式有以下兩種：

1. 獨立部署：漏洞掃描設備如果按獨立模式進行部署可以直接接入核心交換機上，也就是網絡中指部署一臺設備，管理員可以從任意地址登錄設備下達任務；

   

2. 分布式部署：漏洞掃描設備如果按照分布式模式部署則直接接在每個小型局域網的核心交換機上，部署多臺掃描設備進行集中管理和下達任務。

   

如果你上網的方式是屬于局域網的話，防火墻的安全級別可以設置為 “中”；如果是直接連接網絡（非局域網）的話，防火墻的安全級別可以設置為 “高”。不過，這也要看具體情況而定，如果因防火墻的原因不能正常瀏覽某些網頁的話，可以適當降低防火墻的安全級別。

• 低安全級：計算機將開放所有服務，但禁止互聯網上的機器訪問文件、打印機共享服務。適用于在局域網中的提供服務的用戶。這是自由度最大的安全級別，所以僅限于 “網絡高手” 使用。

• 中安全級：禁止訪問系統級別的服務 (如 HTTP , FTP 等)。局域網內部的機器只允許訪問文件、打印機共享服務。 使用動態規則管理，允許授權運行的程序開放的端口服務，比如網絡游戲或者視頻語音電話軟件提供的服務。而且能夠保證例如收發郵件和傳輸文件的一般用戶，所以一般這個安全級別是缺省值。

• 高安全級：系統會屏蔽掉向外部開放的所有端口；禁止訪問本機提供所有服務，對常見的木馬程序和攻擊進行攔截；提供嚴格控制的網絡訪問能力；適用于僅僅是上網瀏覽網頁的用戶。當然網絡游戲你就玩不了了。

網絡安全審計會根據企業的合規性衡量其現狀，并與特定的行業標準對照，然后進行差距分析，通過有針對性的建議確保盡早發現并糾正所有控制差距。審計人員應定期執行網絡安全審計的原因有以下幾點：

• 定期監測組織的IT基礎設施、系統和控制措施，檢測任何潛在風險或缺陷。

• 確認現有系統滿足最低合規要求，并降低預期風險。

• 評估網絡安全運營系統和流程的效率和有效性。

• 檢查信息系統、安全控制措施和管理程序，降低風險。

• 為制定應急計劃提供建議，應對緊急網絡攻擊或其他漏洞。

網絡安全審計的要點包括審查網絡安全策略、制定網絡安全綜合措施、從業人員網絡能力分析，以及協助組織內基于風險的審計計劃。

Modbus協議的固有安全問題有：

• 缺乏認證:認證的目的是保證收到的信息來自合法的用戶，未認證用戶向設備發送的控制命令不會被執行。在Modbus協議的通信過程中，沒有任何認證方面的相關定義，攻擊者只需要找到一個合法的地址就可以使用功能碼并建立一個Modbus通信會話，從而擾亂整個或者部分控制過程。

• 缺乏授權:授權用來保證不同的特權操作由擁有不同權限的認證用戶來完成，這樣可以大大降低誤操作與內部攻擊的概率。目前，Modbus協議沒有基于角色的訪問控制機制，也沒有對用戶進行分類，沒有對用戶的權限進行劃分，這會導致任意用戶可以執行任意功能。

• 缺乏加密:加密可以保證通信過程中雙方的信息不被第三方非法獲取。在Modbus協議的通信過程中，地址和命令全部采用明文傳輸，因此數據可以很容易地被攻擊者捕獲和解析，為攻擊者提供便利。

• 緩沖區溢出漏洞:緩沖區溢出是指在向緩沖區內填充數據時超過了緩沖區本身的容量，導致溢出的數據覆蓋在合法數據上，這是在軟件開發中最常見也是非常危險的漏洞，可以導致系統崩潰，或者被攻擊者用來控制系統。Modbus系統開發者大多不具備安全開發知識，這樣就會產生很多的緩沖區溢出漏洞，一旦被惡意者利用就會導致嚴重的后果。

• 功能碼濫用:功能碼是Modbus協議中的一項重要內容，幾乎所有的通信都包含功能碼。目前，功能碼濫用是導致Modbus網絡異常的一個主要因素。例如，不合法報文長度、短周期的無用命令、不正確的報文長度、確認異常代碼延遲等都有可能導致拒絕服務攻擊。

Modbus協議的固有安全問題的解決措施如下：

• 從源頭開始：工控網絡漏洞，很大一部分是其實現過程出現的漏洞。如果從源頭開始控制，從Modbus 系統的需求設計、開發實現、內部測試和部署等階段，全生命周期的介入安全手段，融入安全設計、安全編碼以及安全測試等技術，可以極大地消除安全漏洞，降低整個Modbus 系統的安全風險。

• 異常行為檢測：異常行為代表著可能發生威脅，不管是有沒有攻擊者，因此開發針對Modbus 系統的專用異常行為檢測設備可以極大提高工控網絡的安全性。針對Modbus 系統，首先要分析其存在的各種操作行為，依據“主體，地點，時間，訪問方式，操作，客體”等行為描述成一個六元組模型; 進而分析其行為是否屬于異常; 最終決定采取記錄或者報警等措施。

• 安全審計：Modbus的安全審計就是對協議數據進行深度解碼分析，記錄操作的時間、地點、操作者和操作行為等關鍵信息，實現對Modbus 系統的安全審計日志記錄和審計功能，從而提供安全事件爆發后的時候追查能力。

• 使用網絡安全設備：使用入侵防御和防火墻等網絡安全設備。防火墻是一個串行設備，通過設置，只允許特定的地址訪問服務端，禁止外部地址訪問Modbus 服務器，可以有效的防止外部入侵; 入侵防御設備可以分析Modbus協議的具體操作內容，有效地檢測并阻止來自內部/外部的異常操作和各種滲透攻擊行為，對內網提供保護功能。

滲透測試痕跡清除辦法有以下這些：

• 如果是windows系統，可用MSF中的 clearev 命令清除痕跡；

• 如果3389遠程登錄過，需要清除mstsc痕跡；

• 執行命令清除日志；

• 如果是web應用，找到web日志文件，刪除；

• 如果是Linux系統，在獲取權限后刪除輸入過的命令記錄；

• 刪除 /var/log 目錄下的日志文件。