常見網絡安全威脅及防范前言隨著互聯(lián)網技術的發(fā)展

，網絡攻擊類型與頻率也不斷增長

。信息及信息系統(tǒng)由于具備脆弱性、敏

感性和機密性等多種特性

，易遭受到來自不同手段的威脅或攻擊

，比如DDoS攻擊

、網絡入侵

、

數據泄露和中間人攻擊等

。只有了解各種威脅來源及其應對方式，才能更好地保障信息系統(tǒng)的安全。l

企業(yè)網絡實現(xiàn)了企業(yè)內部的數據傳輸及企業(yè)內部與外部的數據交互。企業(yè)網絡的安全性對保證企

業(yè)的安全生產至關重要

。本章將以企業(yè)網絡為場景介紹常見的網絡安全威脅及應對方式。l目標l

學完本課程后，您將能夠：

描述企業(yè)網絡受到的常見網絡安全威脅

描述常見網絡安全威脅的應對方式目錄1.企業(yè)網絡安全威脅概覽2.

通信網絡安全需求與方案3.區(qū)域邊界安全威脅與防護4.

計算環(huán)境安全威脅與防護5.

管理中心安全需求與方案Web服務器郵件服務器計算環(huán)境（服務器區(qū)） UMA堡壘機

iMaster-NCE管理中心企業(yè)網絡安全威脅概覽

(1)l

企業(yè)存在來自內部和外部的安全威脅，下圖是一張典型的企業(yè)網絡架構圖：

運營商

DDoS攻擊

病毒路由器

AntiDDoS

ATIC

防火墻

IPS

邊界區(qū)域

核心交換機

接入交換機

員工區(qū)2計算環(huán)境

（辦公區(qū)）員工區(qū)1企業(yè)網絡安全威脅概覽

(2)l

企業(yè)通常采取管理和技術兩方面的措施規(guī)避安全風險

，在管理上

，通常制定各類安全制度

、運維要求或應急

流程

，以提升員工的安全意識。l

安全意識是一切防御手段的基礎

，針對全體員工定期展開安全意識培訓

，明確安全制度與規(guī)則

，可以幫助企

業(yè)避免大部分由于誤操作引起的信息泄露或其他信息安全事件。l

為了有針對性地防范企業(yè)網絡安全威脅

，企業(yè)工程師會根據威脅來源將網絡劃分為不同區(qū)域：企業(yè)網絡區(qū)域邊界區(qū)域通信網絡架構計算環(huán)境管理中心目錄1.

企業(yè)網絡安全威脅概覽2.通信網絡安全需求與方案3.區(qū)域邊界安全威脅與防護4.

計算環(huán)境安全威脅與防護5.

管理中心安全需求與方案需求1-網絡架構可靠性l

從第三級等級保護（監(jiān)督保護級）開始

，安全通信

網絡部分中網絡架構要求：應提供通信線路

、關鍵

網絡設備和關鍵計算設備的硬件冗余

，保證系統(tǒng)的

可用性。l

防火墻作為企業(yè)出口區(qū)域的關鍵設備

，應該具備高

可靠性

，不僅是線路的高可靠性

，也需要保障設備

的高可靠性

。右圖所示為防火墻高可靠組網方式。路由器A防火墻A

Master交換機A

Internet

主機A主機B

內網路由器B防火墻BBackup交換機B主機A訪問外網流量主機B訪問外網流量需求2–區(qū)域隔離企業(yè)網絡資源不能直接暴露在公網中

，以免遭受來自互聯(lián)網的猛烈攻擊

。此外

，互聯(lián)網中的不法份子可能通過IP地址掃描或其他方式探測企業(yè)網絡，便于進行下一步的攻擊。通常在出口處部署防火墻

，防火墻通過將所連接的不同網絡分隔在不同安全區(qū)域隔離內外網，而通過在防火墻上部署地址轉換技術，可以在一定程度上隱藏內網IP地址

，保護內部網絡。

TrustPC終端/24

數據包轉發(fā)路徑54

防火墻

NAT映射表UntrustWeb服務器私有地址：端口公有地址：端口

：10321

：1025源IP地址目的IP地址源IP地址目的IP地址Internet交換機ll需求3-

信息保密性企業(yè)有出差員工

，或者大型企業(yè)有多個分支機構

。出差員工和企業(yè)總部

，企業(yè)分支和企業(yè)總部之間在不安全的Internet上進行數據傳輸時

，可能存在數據被竊取或篡改的風險

，原因在于：

企業(yè)數據傳輸本身未加密或加密程度不夠；

中間人攻擊（Man-in-the-Middle

Attack）：指攻擊者與通訊的兩端分別創(chuàng)建獨立的聯(lián)系，并交換其所收到的數據，

使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話，但事實上整個會話都被攻擊者完全控制。在中間人

攻擊中，攻擊者可以攔截通訊雙方的通話并插入新的內容。

企業(yè)總部

企業(yè)分支

攻擊者

Internet出差員工l信息保密性安全方案由于Internet的開放性

，導致企業(yè)和其分支機構在Internet上傳輸數據的安全性無法保證

，可以使用VPN技術在Internet上構建安全可靠的傳輸隧道

。對于有經濟實力和有高安全高可靠性要求的企業(yè)，還可以通過向運

營商購買專線的方式

，滿足總部與分支機構之間的互聯(lián)需求。對于出差員工，可以使用L2TP

over

IPSec

，SSL

VPN等方式安全地接入公司網絡。

企業(yè)分支

企業(yè)總部

出差員工IPSec

VPN可以對數據進

行加密，確保傳輸安全。InternetIPSecVPNll目錄1.

企業(yè)網絡安全威脅概覽2.

通信網絡安全需求與方案3.

區(qū)域邊界安全威脅與防護4.

計算環(huán)境安全威脅與防護5.

管理中心安全需求與方案威脅1-

DDoS攻擊DDoS攻擊是指攻擊者通過控制大量僵尸主機

，向攻擊目標發(fā)送大量攻擊報文

，導致被攻擊目標所在網絡的鏈路擁塞

，系統(tǒng)資源耗盡

，從而無法向正常用戶提供服務。有些惡意競爭對手會使用DDoS攻擊

，對正常合法企業(yè)造成較大經濟損失

。如在購物節(jié)期間對網上購物平臺發(fā)動的DDoS攻擊。

攻擊者跳板機

僵尸主機攻擊流量攻擊目標控制流量路由器llDDoS攻擊種類根據攻擊報文類型的不同

，可以分為TCP

Flood

、UDP

Flood

、ICMP

Flood

、HTTP

Flood和GRE

Flood等。源自《kaspersky

securelist-DDoS

attacks

in

Q2

2021》攻擊類型描述TCP

Flood利用TCP協(xié)議發(fā)起的DDoS攻擊，常見的攻擊有

SYN

Flood

，SYN+ACK

Flood

，ACK

Flood，F(xiàn)IN/RST

Flood等。UDPFlood使用UDP協(xié)議發(fā)起的攻擊，常見攻擊有UDPFlood

，UDP分片攻擊等。ICMP

Flood利用ICMP協(xié)議在短時間內發(fā)送大量的ICMP報文

導致網絡癱瘓，或采用超大報文攻擊導致網絡鏈

路擁塞。HTTP

Flood利用HTTP協(xié)議交互，發(fā)動HTTPFlood，或者

HTTP慢速攻擊等。GREFlood利用GRE報文發(fā)動的DDoS攻擊，利用GRE報文的

解封裝消耗攻擊目標的計算資源。lDDoS攻擊安全防范對于不同類型的DDoS攻擊

，AntiDDoS設備有源認

證

、限流等不同的防御方式

，右圖描述SYN

Flood源認證防御的工作原理。SYN

Flood攻擊是通過偽造一個源地址的SYN報文

，

發(fā)送給受害主機

，受害主機回復SYN+ACK報文給這

些地址后

，不會收到ACK報文

，導致受害主機保持

了大量的半連接

，直到超時

。這些半連接可以耗盡

主機資源

，使受害主機無法建立正常TCP連接

，從

而達到攻擊的目的。SYN

Flood攻擊防御-源認證（虛假源）攻擊者

防火墻目標服務器SYNSYN+ACKSYNSYN+ACKSYN連續(xù)一段時間內到同一目的

地址的SYN報文超過閾值就啟

動源認證SYN+ACK：

回應一個正確

確認號的報文SYN+ACK真實主機SYNSYN+ACKACKRSTSYNSYN+ACK：回應一個正確確認號的報文ACK：認證通過，加白名單源IP在白名單中，信任此源ll威脅2

-單包攻擊單包攻擊不像DDoS攻擊通過使網絡擁塞

，或消耗系統(tǒng)資源的方式進行攻擊

，而是通過發(fā)送有缺陷的報文，使主機或服務器在處理這類報文時系統(tǒng)崩潰

，或發(fā)送特殊控制報文

、掃描類報文探測網絡結構

，為真正的攻

擊做準備。

掃描型

攻擊

畸形報

文攻擊

特殊報

文控制

類攻擊一種潛在的攻擊行為，不具備直接的破壞行為，攻擊者通過發(fā)送特殊控制報文探測網絡

結構，為后續(xù)發(fā)起真正的攻擊做準備。典型的有超大ICMP報文控制攻擊，IP報文控制攻擊等。攻擊者運用ICMP報文探測目標地址，以確定哪些目標系統(tǒng)確實存活著并且連接在目標網

絡上；或攻擊者對端口進行掃描探測，探尋被攻擊對象目前開放的端口，從而確定攻擊方式。攻擊者通過發(fā)送大量有缺陷的報文，從而造成主機或服務器在處理這類報文時系統(tǒng)崩潰。典型的有Teardrop攻擊，Smurf攻擊，

Land攻擊等。l單包攻擊安全防范l

防火墻具有單包攻擊防范功能

，可以對掃描類攻擊

、畸形報文攻擊和特殊報文控制類攻擊進行有效防范。l

不同單包攻擊的原理不同

，防火墻采用的防范原理也不同。以下對地址掃描攻擊原理和其防范原理進行介紹

。

ICMP報文

企業(yè)內網

攻擊者源地址目的地址……若Rate

<

Threshold，放行報文；若Rate

>

Threshold，將源IP加入黑

名單，并丟包報文。在防火墻中，設置同一源IP每秒發(fā)往

不同目的地址的ICMP報文數量的最大

閾值Threshold。通過應答報文判

斷目標網絡上存

在的設備節(jié)點。威脅3

–用戶行為不受控70%的信息安全事件是由于內部員工誤操作或安全意識不夠引起的

。在加強員工安全意識的同時，企業(yè)也需要在技術層面管控員工訪問外網的行為

，不僅可以通過iMaster-NCE管控用戶的訪問權限

，還可以通過防火

墻的內容過濾功能管控用戶的上網行為。l威脅4-

外部網絡入侵行為只要企業(yè)內網與外部網絡有連接就有可能受到外部攻擊者的入侵，如病毒

、SQL注入和DDoS攻擊等。入侵類型描述病毒一種可感染或附著在應用程序或文件中的惡意代碼，

一般通過郵件或文件共享等協(xié)議進行傳播，威脅用戶

主機和網絡的安全。病毒能夠自我復制，但需要通過

打開受感染的文件，啟用宏等手動操作才能激活。SQL注入SQL注入攻擊指的是通過構建特殊的輸入作為參數傳入

Web應用程序，而這些輸入大都是SQL語法里的一些組

合，通過破壞SQL語句的原始邏輯，進而執(zhí)行攻擊者所

希望的操作。

SQL注入漏洞屬于高危型Web漏洞。DDoS攻擊DDoS攻擊通過發(fā)出海量數據包，造成目標設備負載過

高，最終導致網絡帶寬或是設備資源耗盡。Internet

企業(yè)內網

攻擊者病毒入侵l入侵防御安全防范l

防火墻的入侵防御功能對所有通過的報文進行檢測

分析，并實時決定允許通過或阻斷

。也可使用IPS設

備對網絡入侵行為進行防御。防火墻/IPS設備通常部署在網絡出口處

，抵擋來自互聯(lián)網的威脅。防火墻/IPS設備上具備入侵防御功能模塊

，該模塊通過將流經防火墻/IPS設備的流量與加載的簽名庫

做對比并根據危險程度進行相應處理

，簽名庫是簽

名的集合。l

簽名：用來描述網絡中存在的該入侵行為的特征，

及設備需要對其采取的動作。ll目錄1.

企業(yè)網絡安全威脅概覽2.

通信網絡安全需求與方案3.區(qū)域邊界安全威脅與防護4.計算環(huán)境安全威脅與防護5.

管理中心安全需求與方案終端軟件漏洞l

企業(yè)內網終端軟件存在漏洞，往往給攻擊者可乘之機

，不管是從外網或是內網進行的網絡攻擊

，內網終端感

染病毒后

，借助內網設備之間的信任關系，病毒通過橫向擴散

，最終往往造成內網大量終端設備感染。CVE（Common

Vulnerabilities

and

Exposures）是一個披露漏洞的平臺

，它會提供編號作為漏洞對應的字符串式特征。MSHTML的一個已知漏洞被某勒索軟

件團伙利用，與惡意廣告一起感染受

害者，并加密他們的設備。也有攻擊

者利用該漏洞，向Windows用戶發(fā)送

惡意的WinWord附件。近期披露的某虛擬機軟件漏洞可能被

用于破壞虛擬機管理程序并處罰拒絕

服務掉件。該漏洞很容易被高權限攻

擊者利用，一旦奪取了權限，可能導

致虛擬機環(huán)境掛起或頻繁崩潰。著名的WannaCry勒索病毒，就是利

用Windows操作系統(tǒng)漏洞永恒之藍發(fā)

起攻擊。由于很多受害者沒有及時安

裝補丁，導致被病毒攻擊，計算機中

的文件被加密。l終端軟件漏洞應對方式l

對企業(yè)網絡終端設備的系統(tǒng)軟件和應用軟件及時打補丁，并且安裝防病毒軟件。使用NAC（Network

Admission

Control）方案，對企業(yè)網絡自有的終端和外來接入的終端進行安全性檢查，阻止不符合要求的終端接入網絡。l

使用漏洞掃描工具掃描企業(yè)網絡

，對信息安全進行風險評估

。檢測網絡中的設備存在的漏洞并及時進行修復。l

進行滲透測試，使用專業(yè)人士對企業(yè)網絡系統(tǒng)安全性進行評估

，并給出針對性的改進措施。滲透測試一般流程撰寫測試報告痕跡清除內網滲透內網轉發(fā)信息收集漏洞利用確定目標漏洞探測結束開始l目錄1.

企業(yè)網絡安全威脅概覽2.

通信網絡安全需求與方案3.

區(qū)域邊界安全威脅與防護4.

計算環(huán)境安全威脅與防護5.

管理中心安全需求與方案需求1–

管理員權限管控l

某些情況下

，企業(yè)員工因為利益或不滿

，會實施危害企業(yè)信息安全的行為

。比如盜取企業(yè)機密數據

，破壞企

業(yè)網絡基礎實施等。某公司員工受利益驅使，離職前

通過拍照、郵件外發(fā)等方式，盜

竊公司機密信息。事發(fā)后受到法

律制裁。某公司員工受虛擬貨幣利益驅使，

偷偷使用公司服務器計算資源進

行挖礦活動，獲利數十萬元，最

后行為敗露，受到法律制裁。但期間公司的服務器資源遭到侵占，

影響正常業(yè)務的運行。某公司員工因個人精神、生活等

原因對公司線上生產環(huán)境進行了

惡意的破壞。導致生產環(huán)境和數

據遭受嚴重破壞，公司和客戶利

益收到嚴重損害。最終該員工也

受到法律制裁。管理員權限管控安全方案l

對于可能發(fā)生的企業(yè)員工的信息安全風險行為，可以從技術和管理兩方面進行應對。l

技術方面

更嚴密的權限管理：對不同級別的企業(yè)員工設置不同權限的賬號，特別是對運維的權限要遵循最小授權的原則，比如

使用UMA統(tǒng)一運維審計對管理員的運維權限進行管控，并監(jiān)控管理員行為；

更可靠的備份機制：對于已經造成生產環(huán)境和數據破壞的情況，可以快速恢復，盡量減少損失。l

管理方面

在企業(yè)內部經常進行信息安全案例宣傳，提高員工安全意識；

對于高安全需求的區(qū)域，可以使用門禁系統(tǒng)；

關注員工工作生活狀態(tài)，及時進行心理輔導，防止員工因心理問題造成的信息安全風險行為。需求2-

上網權限管控l

除了從企業(yè)外部網絡帶來的安全風險

，企業(yè)內網安全隱患也日益增加

。企業(yè)內可能會有外來人員，如果出現(xiàn)非法接入和非授權訪問時

，也會存在導致業(yè)務系統(tǒng)遭受破壞

、關鍵信息資產泄露的風險

。

惡意人員接入網絡之后，會進行破壞，或盜取信息的活動；

接入網絡的終端，如果攜帶有病毒，有可能導致病毒在企業(yè)內網傳播。l

應對非法接入，可以從技術和管理兩方面入手：

使用網絡準入控制方案； 對于出入企業(yè)的人員進行嚴格的行政管理。上網權限管控方案

(1)對于非法接入的應對措施，華為提供NAC方案，可以對接入用戶進行安全控制，實現(xiàn)只有合法的用戶、

安全的終端才可以接入網絡。NAC具有以下功能： 身份認證：對接入網絡的用戶身份進行合法性認證，

只有合法的用戶才能接入企業(yè)網絡；

訪問控制：根據用戶身份、接入時間、接入地點、終

端類型、接入方式精細匹配用戶，控制用戶能夠訪問

的資源；

對終端進行安全性檢查，只有“健康的、安全的”用

戶終端才可以接入網絡。802.1X/PortalMAC802.1X/Portal企業(yè)網絡服務器系統(tǒng)準入控制服務器補丁/病毒庫/軟

件服務器業(yè)務服務器網絡準入

設備終端有線終端啞終端無線終端ll上網權限管控方案

(2)l

可以通過管理手段

，規(guī)范員工進入企業(yè)內部

，嚴格

控制外來人員的進入。

外來訪問人員必須要提前登記，并出示有效證件才能

進入； 使用安保人員和設備控制外來人員及車輛的進入；

對企業(yè)內部重要區(qū)域，可使用門禁系統(tǒng)，限制不符合

權限的人員進入；

禁止在計算機等設備上私自插入U盤等存儲設備。l

創(chuàng)建訪客網絡供外來訪問人員進行接入

，與企業(yè)辦

公網絡隔離

，消除安全風險。

Internet

路由器

無線接入點

辦公Wi-Fi

Employee-XX

企業(yè)員工

訪客

訪客網絡與辦

公網絡隔離訪客Wi-Fi

Guest-XX思考題1.（單選題）以下哪一內容過濾功能可防止員工將自己的身份信息泄露到外網？

()A.郵件過濾B.文件過濾C.

URL過濾D.內容過濾2.（判斷題）即使在經過源認證過濾非法流量后

，訪問目標服務器的流量依然很大

，此時可以采

用限流的方式保護目標服務器。(

)A.正確B.

錯誤本章總結l

本課程簡要介紹了常見信息安全威脅的種類以及其威脅來源，詳細描述了不同攻擊的原理和影響，

分別概述了不同威脅的應對方式和解決方案。l

通過本課程的學習，您將能夠對整個安全威脅的內容有一定的了解

，為下一步深入學習打下基礎。學習推薦l

華為官方網站

企業(yè)業(yè)務：http://enterprise.huawei.com/cn/

技術支持：http://support.huawei.com/enterprise/

在線學習：http://learning.huawei.com/cn/縮略語表縮略語英文全稱解釋AntiDDoSAnti

Distributed

Denial

of

Service防御分布式拒絕服務ATICAbnormal

TrafficInspection&

Control

System異常流量監(jiān)管系統(tǒng)CVECommonVulnerabilities

andExposures通用漏洞披露DMZDemilitarizedZone半信任區(qū)DoSDenial

of

Service拒絕服務GREGenericRouting

Encapsulation通用路由封裝IPSIntrusion

PreventionSystem入侵防御系統(tǒng)IPSecInternetProtocolSecurity因特網協(xié)議安全協(xié)議L2TPLayer2

TunnelingProtocol二層隧道協(xié)議NAC