随着互联网的持续发展，企业日益重视网络安全问题，如何防御网络攻击成了每个管理人员的必修课。

知己知彼才能百战不殆。对于网络安全来说，成功防御的一个基本组成部分就是要了解敌人。网络安全管理人员必须了解黑客的工具和技术，才能更好的部署防御堡垒，避免网络攻击造成的影响

那么，常见的网络攻击有哪些？防御策略是什么？

1、SQL注入攻击

SQL注入方法是网络罪犯最常用的注入手法。此类攻击方法直接针对网站和服务器的数据库。执行时，攻击者注入一段能够揭示隐藏数据和用户输入的代码，获得数据修改权限，全面俘获应用。

缓解SQL注入风险的首选方法就是始终尽量采用参数化语句。更进一步，可以考虑使用身份验证及数据库加密防护。

2、零日攻击

在两种情况下，恶意黑客能够从零日攻击中获利。第一种情况是，如果能够获得关于即将到来的安全更新的信息，攻击者就可以在更新上线前分析出漏洞的位置，发动攻击。第二种情况是，网络罪犯获取补丁信息，然后攻击尚未更新系统的用户。

第二种情况可能更为普遍，系统、应用软件更新不及时，已成我国企业级用户受到攻击的一大因素。

保护自身不受零日攻击影响最简便的方法，就是在新版本发布后及时更新。

3、DDoS攻击

卡巴斯基实验室《2017年IT安全风险调查》指出，单次DDoS攻击可令小企业平均损失12.3万美元，大型企业的损失水平在230万美元左右。

DDoS攻击就是用大量请求压垮目标服务器，攻击者再利用DDoS攻击吸引安全系统火力，从暗中利用漏洞入侵系统。

避免DDoS攻击，首先，需通过内容分发网络（CDN）、负载均衡器和可扩展资源缓解高峰流量。其次，需部署Web应用防火墙（WAF），防止DDoS攻击隐蔽注入攻击或跨站脚本等其他网络攻击方法。

4、中间人攻击

攻击者利用中间人类型的攻击收集信息，通常是敏感信息。数据在双方之间传输时可能遭到恶意黑客拦截，如果数据未加密，攻击者就能轻易读取个人信息、登录信息或其他敏感信息。

保护信息不被中间人最有效的方法是：加密传输信息，攻击者即使拦截到信息也无法轻易破解。

5、暴力破解

暴力破解攻击，攻击者采用多台计算机破解用户名和密码对，以便获得用户权限，从而资料或发动连锁攻击。

保护登录信息的最佳办法，是使用复杂的强密码，关键登录权限（如涉密系统、涉密邮箱）则使用独立强密码，避免攻击者破解密码的风险。

6、网络钓鱼

网络钓鱼攻击用到的工具就是电子邮件。攻击者通常会伪装成官方、亲友或领导，诱骗受害者给出敏感信息或执行转账；也可能诱导受害者点击含有恶意程序的木马病毒，从而入侵企业内部“潜伏”起来，长期数据信息。

阿里云、腾讯云这里应该都是指公有云，对比自购服务器有没有更省钱，得从多个方面来对比算账。下面我就从花费和各自优缺点做个对比：

1、大型企业对数据中心需求模拟

既然需要算一笔账，而题主并没有给出场景。数智风这里根据我的经验给大致模拟一个大型企业的数据中心需求出来。一般一个大型企业通常包含以下需求：

①、核心数据库需求

大型企业信息化一般都比较完善，并且已经运行很多年。已经具备自己的核心数据库集群。通常一般会有如下数据库集群：

oracle核心数据库：这里一般都是核心生产系统数据的存放地。很多都是用两台高并发的小型机来组建Oracle 集群。或者是用高性能PC服务器2台组成oracle集群，由多套集群分别负责不同的业务（一般会有4套集群）。Mysql数据库：这个一般拿来对付普通应用，主要是门户网站、OA之类的应用。一般都是单机运行就可以，这里可能会有10台高性能PC服务器左右。

②、计算资源需求

一般大型企业对计算资源的需求，至少都有上百台的应用服务器。我们这里就按照200台一般PC服务器来计算。这些服务器采用一般配置即可。

③、存储资源需求

在前面数据库需求里，我们可以看到大型企业的数据还是比较多的。我们按照核心数据库8TB，Mysql数据库5T。同时还有一些文件服务器会比较占用存储空间。我们按照20T来计算。

④、安全需求

对大型企业来说，安全还是非常重要的。防火墙、防病毒、WAF、堡垒机等等一般都是需要配备的。以此来保护企业数据中心的安全。

⑤、网络出口专线需求

对于大型企业的数据中心，我们还需要运营商提供专线网络支持。这里我们按照200M专线计算。

⑤、小计

按照前面的模拟需求，汇总小计如下：

2、自购服务器的花费

以上需求如果我们企业去自购，我们需要支付相应的软硬件的采购费、安装实施费、运行维护费。那我们按照硬件5年生命周期来计算。

①、硬件采购

计算方面：应用服务器一般大概需要4万一台。需求200台，我们需要花费800万。Oracle数据库服务器大概需要8万一台。需求8台，我们需要花费64元。而Mysql数据库服务器大概需要7万一台。需求10台，我们需要花费70万。计算方面汇总一下也需要934万。

存储方面：数据库存储oralce和mysql放在一起，购买一台30TB裸容量的存储。大概需要花费50万元。而文件存储要求比较低，采用NAS存储裸容量40TB。大概需要40万元。存储方面汇总一下也需要90万

安全方面：防火墙，WAF便宜，也就算个6万1台，算上冗余热备，2样各2台就24万。防病毒1套200台，也得算个8万。堡垒机先算个15万，。安全方面汇总一下也得47万。

②、软件采购

软件方面，windows server虽然可以特殊渠道激活。但为了防止微软打击，多少还得买一点。想这么个规模的大企业至少需要购买个10套。一套约1万元，需要花费10万元。Oracle数据库价格就贵了去了。就算你买个最便宜的应付甲骨文一下，大概需要70万。软件汇总一下得花费80万

③、网络专线费用

电信企业专线一条200M的费用大概要3000元/月。1年需要花费3.6万元。5年需要花费18万元。

④、安装实施及5年运维

安装实施费大概算个总价10%，5年运维也算个总价25%吧。总共就得花费400万。

⑤、空间水电费

空间占用费：机房按照100平方米计算，我们按照商业地段租赁价格，100元/平方米*月算。那一年的空间租赁费大约在12万。

水电费：机房用电是非常厉害的。除了机器要用电，空调制冷也是非常耗电的。服务器耗电按照0.5kwh，存储耗电按照1.5kwh计算，网络安全设备按照0.3kwh计算，那么1年设备需要耗电量：

Q1=（218X0.5+2X1.5+4X0.3）X 24 X 30 X 12 ≈ 972864千瓦

除了设备耗电，我们还有空调制冷耗电，空调制冷按照0.6kwh每平方米算。那么1年的制冷耗电量：

Q2=100 X 0.6 X 24 X 30 X 12 = 518400 千瓦

那么总耗电量就需要Q=Q1+Q2=1491264千瓦。按照工业用电，大概1.1元每千瓦。通过计算可得，我们一年需要付电费约164万。水费主要是空调用水忽略不计。

⑤、小计

按照上面计算，全部汇总起来，我们5年需要花费2451万元。当然这里没有计算机房建设费用。

3、公有云的花费

目前大部分公司租赁公有云还是停留在IAAS或者PAAS层，我们就按照阿里云或腾讯云大概的价格，大概也来算一笔账。

①、计算部分

应用服务器200台，按照上面的需求，加上平时性能利用率并不高，租用企业计算虚拟机即可，1年单价大概在2万。200台5年就需要2000万。而数据库服务器都按照1年2.2万单价，18台5年需要198万元。

②、存储方面

云平台按照文件存储的价格来统一计算。文件存储5年需要150万元，数据库存储5年需要60万元。

③、安全网络方面

安全方面，WAF、堡垒机5年就需要27.5万。NAT网关和公网IP是大型企业访问是必要的，5年需要花费13万。

④、小计

云平台是没有实施和运维费用，开账号随租随用。至于oracle软件、第一次安装费用，这里也先忽略了。因为就上面这些，总计数值就已经2478万了。

3、优缺点对比

从上面看，本地部署比公有云部署在五年来看者稍微更省一点钱。其实这里没有计算机房建设费用。如果算上机房建设维修费用等等，两者相差不大。当然，市面上两种都存在，也是因为两者各有优缺点。下面我将两种模式的优缺点也简单对比一下：

①、本地部署优缺点

优点：资产放在自己企业内部心理安心，跟本地相关性很强的应用访问快很多。

缺点：本地部署每次部署新应用，需要重新走采购、招标、安装等等一系列流程，花费时间非常长。扩容也会受到同样的麻烦。本地机房抗风险能力相比公有云弱一点，因为一般企业建设的机房标准能达到B级的都不多，有些更是很随便。同时，如果需要访问互联网的应用，网络出口单一，带宽扩容不方便。还有一个重点：浪费比较严重，因为每次上应用规划都是按3-5年规划，前期没有那么大业务量，购买的资源存在很大的浪费。

②、公有云优缺点

优点：和本地部署正好相反。无论是新部署还是扩容，公有云都是非常高效的，扩容网络带宽也是非常快速的。计费模式灵活，当前需要多少就买多少资源。浪费非常少。

缺点：如果是本地强相关应用公有云反而不适合（比如本地监控、制造业的生产系统，医院的影像系统）。资产不在身边，很多企业会担心数据安全。

对比总结

从上面对比来看，一个大型企业如果全部上云的话，按照5年生命周期计算。花费上本地部署和公有云部署是相差不大的。但是各自的优缺点不同决定了很多企业都采用混合架构。本地化强的应用依然放在本地，和互联网相关强的应用放在公有云上。这样达到一种最佳平衡。

我是数智风，用经验回答问题，欢迎关注评论。

首先就科技领域来讲，网络安全运维人才还是相对稀缺，前景广。

但是网络运维涉及到的东西特别多，应用面比较广，学习起来也比较枯燥，得有心理准备；

其次就你初中毕业来说，文化底蕴较低，不如大学生学习具有贯彻性，困难比较大，这也是你值得考虑的；

然而计算机方面好多天才都是在很小的时候，甚至在初中时就有不凡的见解，所以也不要气馁，而且现在网络教育也很方便，好多自学网站都有相关免费课程，不限时间、地点，只要你肯用功，一定会有所作为的。

总结：首先不管学习哪一门专业，都要自己喜欢、爱好，有兴趣了才能学得好，学得快，且计算机领域学习比较枯燥，实践性又特别强，所以决定选择好了，就要耐得住寂寞，坚持不懈，定有所成。

每一项的具体含义如下所示：

attacklog = "on" –是否开启攻击日志记录(on 代表开启，off 代表关闭。下同)

logdir = "/www/wwwlogs/waf/" –攻击日志文件存放目录（一般无需修改）

UrlDeny="on" –是否开启恶意 url 拦截

Redirect="on" –拦截后是否重定向

CookieMatch="off" –是否开启恶意 Cookie 拦截

postMatch="off" –是否开启 POST 攻击拦截

whiteModule="on" –是否开启 url 白名单

black_fileExt={"php","jsp"} –文件后缀名上传黑名单，如有多个则用英文逗号分隔。如：{"后缀名1","后缀名2","后缀名3"……}

ipWhitelist={"1.0.0.1"} –白名单 IP，如有多个则用英文逗号分隔。

如：{"1.0.0.1","1.0.0.2","1.0.0.3"……} 下同

ipBlocklist={"1.0.0.1"} –黑名单 IP

CCDeny="off" –是否开启 CC 攻击拦截

CCrate="300/60" –CC 攻击拦截阈值，单位为秒。

"300/60" 代表 60 秒内如果同一个 IP 访问了 300 次则拉黑

配置文件中，RulePath 项对应的文件夹里存放的是具体的拦截规则。

打开这个文件夹，可以看到里面有一些无后缀名的规则文件

其中每一个文件的作用如下：

args –GET 参数拦截规则

blockip –无作用

cookie –Cookie 拦截规则

denycc –无作用

post –POST 参数拦截规则

returnhtml –被拦截后的提示页面（HTML）

url –url 拦截规则

user-agent –UA 拦截规则

whiteip –无作用

whiteurl –白名单网址

问题是这个“制作网站时”是什么时候？是在上传网站源代码的时候呢？还是在开发人员调试部署的时候？

如果贵企业有专业的服务器运维人员的话，这都不是个问题！只需要根据需要分配一个临时权限的FTP账号或者指定目录的用户群组即可了！

后期只需要对服务器部署WAF类防火墙基本上这个安全性就够用了，当然安全是个长期的事儿，需要持续的维护、观察、分析的，所以我一直建议企业网站必备的人员是一个合格的运维人员。

就我身边看到和经历的事儿，这对一个企业来说是至关重要的，少走很多的弯路，节省不菲的费用！

一个十年草根博客站长（imydl.com）熟悉 WordPress 、 Typecho 博客平台创建、运营网站，多年VPS服务器运维经历，实践经验丰富，在这里为您解答专业方面的所有疑问！