随着互联网的持续发展，企业日益重视网络安全问题，如何防御网络攻击成了每个管理人员的必修课。

知己知彼才能百战不殆。对于网络安全来说，成功防御的一个基本组成部分就是要了解敌人。网络安全管理人员必须了解黑客的工具和技术，才能更好的部署防御堡垒，避免网络攻击造成的影响

那么，常见的网络攻击有哪些？防御策略是什么？

1、SQL注入攻击

SQL注入方法是网络罪犯最常用的注入手法。此类攻击方法直接针对网站和服务器的数据库。执行时，攻击者注入一段能够揭示隐藏数据和用户输入的代码，获得数据修改权限，全面俘获应用。

缓解SQL注入风险的首选方法就是始终尽量采用参数化语句。更进一步，可以考虑使用身份验证及数据库加密防护。

2、零日攻击

在两种情况下，恶意黑客能够从零日攻击中获利。第一种情况是，如果能够获得关于即将到来的安全更新的信息，攻击者就可以在更新上线前分析出漏洞的位置，发动攻击。第二种情况是，网络罪犯获取补丁信息，然后攻击尚未更新系统的用户。

第二种情况可能更为普遍，系统、应用软件更新不及时，已成我国企业级用户受到攻击的一大因素。

保护自身不受零日攻击影响最简便的方法，就是在新版本发布后及时更新。

3、DDoS攻击

卡巴斯基实验室《2017年IT安全风险调查》指出，单次DDoS攻击可令小企业平均损失12.3万美元，大型企业的损失水平在230万美元左右。

DDoS攻击就是用大量请求压垮目标服务器，攻击者再利用DDoS攻击吸引安全系统火力，从暗中利用漏洞入侵系统。

避免DDoS攻击，首先，需通过内容分发网络（CDN）、负载均衡器和可扩展资源缓解高峰流量。其次，需部署Web应用防火墙（WAF），防止DDoS攻击隐蔽注入攻击或跨站脚本等其他网络攻击方法。

4、中间人攻击

攻击者利用中间人类型的攻击收集信息，通常是敏感信息。数据在双方之间传输时可能遭到恶意黑客拦截，如果数据未加密，攻击者就能轻易读取个人信息、登录信息或其他敏感信息。

保护信息不被中间人最有效的方法是：加密传输信息，攻击者即使拦截到信息也无法轻易破解。

5、暴力破解

暴力破解攻击，攻击者采用多台计算机破解用户名和密码对，以便获得用户权限，从而资料或发动连锁攻击。

保护登录信息的最佳办法，是使用复杂的强密码，关键登录权限（如涉密系统、涉密邮箱）则使用独立强密码，避免攻击者破解密码的风险。

6、网络钓鱼

网络钓鱼攻击用到的工具就是电子邮件。攻击者通常会伪装成官方、亲友或领导，诱骗受害者给出敏感信息或执行转账；也可能诱导受害者点击含有恶意程序的木马病毒，从而入侵企业内部“潜伏”起来，长期数据信息。

1、把网站做成静态页面：大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给骇客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现。像新浪、搜狐、网易等大型门户网站基本上都是静态页面。

2、利用Session做访问计数器：利用Session针对每个IP做页面访问计数器或文件下载计数器，防止用户对某个页面频繁刷新导致数据库频繁读取或频繁下载某个文件而产生大额流量。

3、在存在多站的服务器上，严格限制每一个站允许的IP连接数和CPU使用时间，这是一个很有效的方法。还有SQL注入，不光是一个入侵工具，更是一个DDOS缺口。CC的防御要从代码做起，一个脚本代码的错误，可能带来的是整个站的影响，甚至是整个服务器的影响!

4、在IDC机房前端部署防火墙或者流量清洗的一些设备，还可以接入像墨者安全那样的专业高防服务，隐藏服务器真实IP，利用新的WAF算法过滤技术，综合大数据分析变种穿盾CC保护或者采用大带宽的高防机房来清洗DDOS攻击。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。

阿里云、腾讯云这里应该都是指公有云，对比自购服务器有没有更省钱，得从多个方面来对比算账。下面我就从花费和各自优缺点做个对比：

1、大型企业对数据中心需求模拟

既然需要算一笔账，而题主并没有给出场景。数智风这里根据我的经验给大致模拟一个大型企业的数据中心需求出来。一般一个大型企业通常包含以下需求：

①、核心数据库需求

大型企业信息化一般都比较完善，并且已经运行很多年。已经具备自己的核心数据库集群。通常一般会有如下数据库集群：

oracle核心数据库：这里一般都是核心生产系统数据的存放地。很多都是用两台高并发的小型机来组建Oracle 集群。或者是用高性能PC服务器2台组成oracle集群，由多套集群分别负责不同的业务（一般会有4套集群）。Mysql数据库：这个一般拿来对付普通应用，主要是门户网站、OA之类的应用。一般都是单机运行就可以，这里可能会有10台高性能PC服务器左右。

②、计算资源需求

一般大型企业对计算资源的需求，至少都有上百台的应用服务器。我们这里就按照200台一般PC服务器来计算。这些服务器采用一般配置即可。

③、存储资源需求

在前面数据库需求里，我们可以看到大型企业的数据还是比较多的。我们按照核心数据库8TB，Mysql数据库5T。同时还有一些文件服务器会比较占用存储空间。我们按照20T来计算。

④、安全需求

对大型企业来说，安全还是非常重要的。防火墙、防病毒、WAF、堡垒机等等一般都是需要配备的。以此来保护企业数据中心的安全。

⑤、网络出口专线需求

对于大型企业的数据中心，我们还需要运营商提供专线网络支持。这里我们按照200M专线计算。

⑤、小计

按照前面的模拟需求，汇总小计如下：

2、自购服务器的花费

以上需求如果我们企业去自购，我们需要支付相应的软硬件的采购费、安装实施费、运行维护费。那我们按照硬件5年生命周期来计算。

①、硬件采购

计算方面：应用服务器一般大概需要4万一台。需求200台，我们需要花费800万。Oracle数据库服务器大概需要8万一台。需求8台，我们需要花费64元。而Mysql数据库服务器大概需要7万一台。需求10台，我们需要花费70万。计算方面汇总一下也需要934万。

存储方面：数据库存储oralce和mysql放在一起，购买一台30TB裸容量的存储。大概需要花费50万元。而文件存储要求比较低，采用NAS存储裸容量40TB。大概需要40万元。存储方面汇总一下也需要90万

安全方面：防火墙，WAF便宜，也就算个6万1台，算上冗余热备，2样各2台就24万。防病毒1套200台，也得算个8万。堡垒机先算个15万，。安全方面汇总一下也得47万。

②、软件采购

软件方面，windows server虽然可以特殊渠道激活。但为了防止微软打击，多少还得买一点。想这么个规模的大企业至少需要购买个10套。一套约1万元，需要花费10万元。Oracle数据库价格就贵了去了。就算你买个最便宜的应付甲骨文一下，大概需要70万。软件汇总一下得花费80万

③、网络专线费用

电信企业专线一条200M的费用大概要3000元/月。1年需要花费3.6万元。5年需要花费18万元。

④、安装实施及5年运维

安装实施费大概算个总价10%，5年运维也算个总价25%吧。总共就得花费400万。

⑤、空间水电费

空间占用费：机房按照100平方米计算，我们按照商业地段租赁价格，100元/平方米*月算。那一年的空间租赁费大约在12万。

水电费：机房用电是非常厉害的。除了机器要用电，空调制冷也是非常耗电的。服务器耗电按照0.5kwh，存储耗电按照1.5kwh计算，网络安全设备按照0.3kwh计算，那么1年设备需要耗电量：

Q1=（218X0.5+2X1.5+4X0.3）X 24 X 30 X 12 ≈ 972864千瓦

除了设备耗电，我们还有空调制冷耗电，空调制冷按照0.6kwh每平方米算。那么1年的制冷耗电量：

Q2=100 X 0.6 X 24 X 30 X 12 = 518400 千瓦

那么总耗电量就需要Q=Q1+Q2=1491264千瓦。按照工业用电，大概1.1元每千瓦。通过计算可得，我们一年需要付电费约164万。水费主要是空调用水忽略不计。

⑤、小计

按照上面计算，全部汇总起来，我们5年需要花费2451万元。当然这里没有计算机房建设费用。

3、公有云的花费

目前大部分公司租赁公有云还是停留在IAAS或者PAAS层，我们就按照阿里云或腾讯云大概的价格，大概也来算一笔账。

①、计算部分

应用服务器200台，按照上面的需求，加上平时性能利用率并不高，租用企业计算虚拟机即可，1年单价大概在2万。200台5年就需要2000万。而数据库服务器都按照1年2.2万单价，18台5年需要198万元。

②、存储方面

云平台按照文件存储的价格来统一计算。文件存储5年需要150万元，数据库存储5年需要60万元。

③、安全网络方面

安全方面，WAF、堡垒机5年就需要27.5万。NAT网关和公网IP是大型企业访问是必要的，5年需要花费13万。

④、小计

云平台是没有实施和运维费用，开账号随租随用。至于oracle软件、第一次安装费用，这里也先忽略了。因为就上面这些，总计数值就已经2478万了。

3、优缺点对比

从上面看，本地部署比公有云部署在五年来看者稍微更省一点钱。其实这里没有计算机房建设费用。如果算上机房建设维修费用等等，两者相差不大。当然，市面上两种都存在，也是因为两者各有优缺点。下面我将两种模式的优缺点也简单对比一下：

①、本地部署优缺点

优点：资产放在自己企业内部心理安心，跟本地相关性很强的应用访问快很多。

缺点：本地部署每次部署新应用，需要重新走采购、招标、安装等等一系列流程，花费时间非常长。扩容也会受到同样的麻烦。本地机房抗风险能力相比公有云弱一点，因为一般企业建设的机房标准能达到B级的都不多，有些更是很随便。同时，如果需要访问互联网的应用，网络出口单一，带宽扩容不方便。还有一个重点：浪费比较严重，因为每次上应用规划都是按3-5年规划，前期没有那么大业务量，购买的资源存在很大的浪费。

②、公有云优缺点

优点：和本地部署正好相反。无论是新部署还是扩容，公有云都是非常高效的，扩容网络带宽也是非常快速的。计费模式灵活，当前需要多少就买多少资源。浪费非常少。

缺点：如果是本地强相关应用公有云反而不适合（比如本地监控、制造业的生产系统，医院的影像系统）。资产不在身边，很多企业会担心数据安全。

对比总结

从上面对比来看，一个大型企业如果全部上云的话，按照5年生命周期计算。花费上本地部署和公有云部署是相差不大的。但是各自的优缺点不同决定了很多企业都采用混合架构。本地化强的应用依然放在本地，和互联网相关强的应用放在公有云上。这样达到一种最佳平衡。

我是数智风，用经验回答问题，欢迎关注评论。

一、朋友圈禁止陌生人查看照片

尽管“朋友圈”只有好友才能看和评论你分享的照片，然而一旦“附近的人”被启用，即便不是好友，你的10张照片也会被非好友的陌生人尽收眼底。很多用户并没意识到这扇“后门”的敞开会导致自己隐私的外泄。

预防方法:首先点击“找附近的人”功能，然后选择“清除位置信息并退出”。最后在设置项，关掉“允许陌生人看10张照片”的隐私设置。

二、小心微博相册、签到、足迹

有很多人选择在周末或者长假外出旅游，并且微博直播旅途，不断晒风景、个人照。大家在晒快乐的同时别忘了保护自己隐私，不要在微博上泄露出游时间、人数等信息。如果要发布的话最好也是对现实好友分组可见。

三、慎用公共场所免费网络

现在青年人聚会，到了餐厅或者咖啡馆，要做的第一件事往往是拿出手机搜索免费无线网络。

一些不法分子就是利用这一点，在公共场所用一台电脑、一套无线网络及一个网络包分析软件就搭建了一个不设密码的wifi。如用户使用该wifi，不法分子就可以盗取手机上的资料。

1、在使用免费WiFi的时候，要看准WiFi的提供者。最好像是在机场或星巴克是有加密的认证的，需要密码才能登录。

2、在一些公共区域，尽量不使用带有个人帐号和密码信息的软件。

四、不乱扫二维码

最好可以在手机上安装二维码检测工具，这类工具可以自动检测二维码中的信息，从而判断其是否含有安全威胁。

五、小心恶意软件

现在网络搜索很方便，但是过于方便的同时也意味着信息量庞大而难以甄别，在下载软件前最好先做调查，看评论，不要搜到哪个就点击哪个，避免进入不合法的软件站点下载，最好使用新版的反病毒软件。恶意软件的主要危害中，资费消耗、隐私和恶意扣费位列前三。这些恶意软件可在后台收集用户的位置信息、通话记录、号码及短信等信息并将其上传至指定服务器，造成难以估量的危害。

六、禁用游戏内置收费项目

很多人逐渐已经习惯在闲暇时通过自己的移动终端来进行游戏娱乐，但是玩游戏的同时也有几点要注意。首先，不要把银行卡跟账户相关联。有时候不经意间的点击就可能造成无法挽回的扣费，所以要从根源上断绝扣费的问题。其次，去官方商店下载游戏，下载之前可以查看评论，如果发现该游戏有类似的问题则建议不要安装。很多扣费代码是内置在游戏中，不用通过用户审核便直接扣费。用户在遭到恶意扣费以后不会收到提示消息，而只能通过查询消费记录方可知道，这对于一般不会查询账单的用户来说便无从所知。

七、网络购物应谨慎

享受网购便利的同时不要忘记以下几点：一定要通过第三方交易平台支付;认真核查卖家信誉度，不要被刷出来的高信誉所迷惑;不要被低价迷花眼，要牢记天上不会掉馅饼;票据、聊天记录要保存;收货后要当面拆开确认。

八、合理使用网银

使用网银时有几点一定要记牢：绝不告诉别人密码;使用U盾、绑定手机;手工输入正确网址登录网银，并将之添加到收藏夹，不要通过超链接或搜索引擎访问银行网站;安装杀毒软件、防火墙并及时升级系统补丁;不打开来历不明的电子邮件和手机短信中的链接。

九、山寨APP防不胜防

随着智能手机的普及，移动应用程序迎来了发展的春天，各个APP商店中，每天都有成千上万的新APP加入，其中隐藏了不少的山寨者通过使用与热门应用相似的名称获利，甚至会在山寨产品里暗藏“炸弹”。

1、要在可信度较高的官方商店下载。

2、仔细识别下载量及用户评论，一般来说下载量最大的APP是官方的几率最大。

3、认真查看开发商资料及其所属的其他产品，因为大多数山寨APP都是单一产品。

以“淘宝”APP为例，有的山寨版只是将正版的橙色改成了橘红色，除了色差之外，客户端标识细节完全一样;有的山寨版则只是把标识上的“淘”字换了一种字体。而且，这些软件下载次数并不低，有的甚至有十几万的下载量。

十、游戏装备小心买

在游戏中购买装备等物品进行网上交易时，应尽可能采取现实中的“一手交钱一手交物”或“先收货再付款”模式，尤其要警惕所谓网上先行支付押金、保证金等情形。要注意核对支付平台或网上银行的相关网址，避免登录钓鱼网站。最好能将支付平台或网上银行的网址予以收藏，避免误登。同时在电脑上安装适当的防毒软件，以充分降低交易风险。

攻击行为的无法防止的。

攻击行为有多种多样，同样防御手段也各不相同。对于流量型攻击，可以购买运营商的DDOS防护服务。对于WEB网站攻击，可以部署WAF， IPS等。传统攻击可以使用防火墙防御。防御APT攻击，则需要加强操作审计，日志审计等。