随着互联网的持续发展，企业日益重视网络安全问题，如何防御网络攻击成了每个管理人员的必修课。

知己知彼才能百战不殆。对于网络安全来说，成功防御的一个基本组成部分就是要了解敌人。网络安全管理人员必须了解黑客的工具和技术，才能更好的部署防御堡垒，避免网络攻击造成的影响

那么，常见的网络攻击有哪些？防御策略是什么？

1、SQL注入攻击

SQL注入方法是网络罪犯最常用的注入手法。此类攻击方法直接针对网站和服务器的数据库。执行时，攻击者注入一段能够揭示隐藏数据和用户输入的代码，获得数据修改权限，全面俘获应用。

缓解SQL注入风险的首选方法就是始终尽量采用参数化语句。更进一步，可以考虑使用身份验证及数据库加密防护。

2、零日攻击

在两种情况下，恶意黑客能够从零日攻击中获利。第一种情况是，如果能够获得关于即将到来的安全更新的信息，攻击者就可以在更新上线前分析出漏洞的位置，发动攻击。第二种情况是，网络罪犯获取补丁信息，然后攻击尚未更新系统的用户。

第二种情况可能更为普遍，系统、应用软件更新不及时，已成我国企业级用户受到攻击的一大因素。

保护自身不受零日攻击影响最简便的方法，就是在新版本发布后及时更新。

3、DDoS攻击

卡巴斯基实验室《2017年IT安全风险调查》指出，单次DDoS攻击可令小企业平均损失12.3万美元，大型企业的损失水平在230万美元左右。

DDoS攻击就是用大量请求压垮目标服务器，攻击者再利用DDoS攻击吸引安全系统火力，从暗中利用漏洞入侵系统。

避免DDoS攻击，首先，需通过内容分发网络（CDN）、负载均衡器和可扩展资源缓解高峰流量。其次，需部署Web应用防火墙（WAF），防止DDoS攻击隐蔽注入攻击或跨站脚本等其他网络攻击方法。

4、中间人攻击

攻击者利用中间人类型的攻击收集信息，通常是敏感信息。数据在双方之间传输时可能遭到恶意黑客拦截，如果数据未加密，攻击者就能轻易读取个人信息、登录信息或其他敏感信息。

保护信息不被中间人最有效的方法是：加密传输信息，攻击者即使拦截到信息也无法轻易破解。

5、暴力破解

暴力破解攻击，攻击者采用多台计算机破解用户名和密码对，以便获得用户权限，从而资料或发动连锁攻击。

保护登录信息的最佳办法，是使用复杂的强密码，关键登录权限（如涉密系统、涉密邮箱）则使用独立强密码，避免攻击者破解密码的风险。

6、网络钓鱼

网络钓鱼攻击用到的工具就是电子邮件。攻击者通常会伪装成官方、亲友或领导，诱骗受害者给出敏感信息或执行转账；也可能诱导受害者点击含有恶意程序的木马病毒，从而入侵企业内部“潜伏”起来，长期数据信息。

1、把网站做成静态页面：大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给骇客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现。像新浪、搜狐、网易等大型门户网站基本上都是静态页面。

2、利用Session做访问计数器：利用Session针对每个IP做页面访问计数器或文件下载计数器，防止用户对某个页面频繁刷新导致数据库频繁读取或频繁下载某个文件而产生大额流量。

3、在存在多站的服务器上，严格限制每一个站允许的IP连接数和CPU使用时间，这是一个很有效的方法。还有SQL注入，不光是一个入侵工具，更是一个DDOS缺口。CC的防御要从代码做起，一个脚本代码的错误，可能带来的是整个站的影响，甚至是整个服务器的影响!

4、在IDC机房前端部署防火墙或者流量清洗的一些设备，还可以接入像墨者安全那样的专业高防服务，隐藏服务器真实IP，利用新的WAF算法过滤技术，综合大数据分析变种穿盾CC保护或者采用大带宽的高防机房来清洗DDOS攻击。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。

Web应用防火墙（也称为网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。国际上传统的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web提供保护的一种产品。

而目前的WAF，在功能、性能上都发生了一些变化。

原始WAF基于规则进行防御，典型的产品如绿盟的WAF，这是第一代WAF产品。

发展到现在，涌现出了一批新的WAF，功能更为强大，性能更为卓越。可称为下一代WAF，比如：ShareWAF，这类WAF，除了可以用规则防御传统攻击，还可以抵御自动化攻击、未知攻击、0Day攻击等等，并且往往集成了态势感知、攻击溯源等新兴的功能，这些强大的功能是传统WAF所不具备的。还有一类WAF，被称为前端WAF，或SDK式WAF。传统的WAF工作在服务器后端，接入时可能需要部署软件，甚至是安装硬件，并修改网络结构，部署是相当的复杂，使用、维护也有大量的工作。给很多企业的使用上带来了众多困难，在这种情况下，WAF中衍生出了前端WAF，就像引入一个JS文件一样，这种WAF通过一行代码就可以接入，能实现绝大多数的WAF功能，比如防SQL注入、防CSRF、防XSS，防自动化攻击、防爬虫等等，功能也是相当强大。这类产品的代表作品如：BrwoserWAF。

总之，WAF被称为WAF应用防火墙，实质上就是防护网站的产品，不管是软件或是硬件，他们的功能、目标是一至的。时代在发展，技术在进展，WAF也在推陈出新，也在进化。

你的问题，有我回答，我是IT屠工！

1、用户安全

(1) 运行 lusrmgr.msc,重命名原 Administrator 用户为自定义一定长度的名字， 并新建同名Administrator 普通用户，设置超长密码去除所有隶属用户组。

(2) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证 服务器账户的密码安全。

(3) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项 交互式登录 :不显示上次的用户名；——启动 交互式登录：回话锁定时显示用户信息；——不显示用户信息

(5) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项

网络访问：可匿名访问的共享；——清空

网络访问：可匿名访问的命名管道；——清空

网络访问：可远程访问的注册表路径；——清空

网络访问：可远程访问的注册表路径和子路径；——清空

(6) 运行

gpedit.msc

——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户

ASPNET

Guest IUSR_***** IWAM_*****

NETWORK SERVICE

SQLDebugger

注：用户添加查找如下图：

(7) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下：

2、共享安全

(1) 运行 Regedit——删除系统默认的共享 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter

s]增加一个键：名称 : AutoShareServer ; 类型 : REG_DWORD值; : 0

(2) 运行 Regedit——禁止 IPC 空连接 [Local_Machine/System/CurrentControlSet/Control/LSA] 把 RestrictAnonymous 的键值改成 ”1”。

3. 服务端口安全

(1) 运行 Regedit——修改 3389 远程端口

打开 [HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminal

ServerWdsrdpwdTdstcp]，将 PortNamber 的键值（默认是3389 ）修改成自定义端 口:14720

打开 [HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp] ，将 PortNumber 的键值（默认是3389）修改成自定义 端口 :14720

(2) 运行 services.msc——禁用不需要的和危险的服务 以下列出建议禁止的服务，具体情况根据需求分析执行：

Alerter 发送管理警报和通知

Automatic Updates Windows 自动更新服务

Computer Browser 维护网络计算机更新（网上邻居列表）

Distributed File System 局域网管理共享文件

Distributed linktracking client 用于局域网更新连接信息

Error reporting service 发送错误报告

Remote Procedure Call (RPC) Locator RpcNs*远程过程调用(RPC)

Remote Registry 远程修改注册表

Removable storage 管理可移动媒体、驱动程序和库

Remote Desktop Help Session Manager 远程协助

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Shell Hardware Detection 为自动播放硬件事件提供通知。

Messenger 消息文件传输服务

Net Logon 域控制器通道管理

NTLMSecuritysupportprovide telnet 服务和 Microsoft Serch 用的

PrintSpooler 打印服务

telnet telnet 服务

Workstation 泄漏系统用户名列表（注：如使用局域网请勿关闭）

(3) 运行 gpedit.msc —— IPSec安全加密端口，内部使用加密访问。

原理：利用组策略中的“ IP 安全策略”功能中，安全服务器（需要安全）功能。

将 所有访问远程如13013 端口的请求筛选到该ip安全策略中来， 使得该请求需要通过 双方的预共享密钥进行身份认证后才能进行连接，其中如果一方没有启用“需要安全”时，则无法进行连接，同时如果客户端的预共享密钥错误则无法与服务器进行 连接。在此条件下，不影响其他服务的正常运行。

操作步骤：

1) 打开

GPEDIT.MSC

，在计算机策略中有“ IP 安全策略” ,选择“安全服务器（需要 安全）”项目属性，然后在IP 安全规则中选择“所有IP 通信”打开编辑，在“编 辑规则属性”中，双击“所有IP通信”，在 IP 筛选器中，添加或编辑一个筛选

2) 退回到 “编辑规则属性” 中，在此再选择“身份验证方法” 。删除“ Kerberos 5”,

点击添加，在“新身份验证方法”中，选择“使用此字符串（预共享密钥） ，然后填写服务器所填的预共享密钥 （服务器的预共享密钥为 ”123abc,.”）。然后确 定。

3) 选择“安全服务器（需要安全）”右键指派即可。 附截图：

以上是我的回答，希望可以帮助到您！

在视频、电子商务、游戏等市场的推动下，CDN已经成为我国互联网基础设施中不可或缺的一部分，行业进入高速发展阶段。随着人工智能、大数据、云计算、物联网、虚拟现实、等技术不断发展进步，CDN将成为支撑这些技术落地应用的重要网络平台，将带动CDN市场规模进一步扩张。同时，5G时代即将来临，新兴通讯技术的应用也将拉动市场对CDN的需求，我国CDN行业将进入新的发展阶段。预计到2022年，我国CDN市场规模将达到1358.6亿元，发展前景广阔。

而且网络安全是网站发展的前提条件。频繁的网络层DDoS攻击和应用层DDoS攻击每天都在发生。攻击之下的门户网站性能急剧下降，无常处理用户请求，造成用户访问失散，严重影响企业形象。近些年伴随着盗链、内容、篡改等攻击行为的发生使企业损失严重，并且超过80%的攻击采用DDOS混合攻击，安全问题早已“防不胜防”。

为了抵御DDOS攻击，客户可能会通过购买抗D设备、WAF设备等来提高系统抗攻击的能力，但是这种退让策略的效果并不好，一方面由于这种需要消耗高额的成本，另一方面传统的通过增加网络带宽资源的方案也只是在应对小规模流量攻击时防御效果明显，面对大规模攻击时则力不从心，并且存在一定的局限性。所以不能从根本上防护DDOS攻击。

CDN网络节点分布的特性是天然的抗D平台，其具有按需防护、简化源服务器基础架构、减少IT规划等优势将会是未来安全发展的趋势。基于CDN平台的源站隐藏、攻击监控、访问控制、智能拦截等技术手段为客户网站提供事前监控、事中防护、事后管理的全过程安全防护。此外，还可利用CDN网络为网站提供优质的加速服务。