网络渗透攻击会严重威胁到企业的网络安全和数据安全。攻击者会有针对性地对某个目标网络进行攻击，以获取其内部的商业资料，进行网络破坏等。一旦其获取了目标网络中网站服务器的权限，还会利用此台服务器，继续入侵目标网络，获取整个网络中所有主机的权限。为了实现渗透攻击，攻击者采用的攻击方式绝不仅此于一种简单的Web脚本漏洞攻击。攻击者会综合运用远程溢出、木马攻击、密码破解、嗅探、ARP欺骗等多种攻击方式，逐步控制网络。

防御网络渗透攻击，主要从如下方面入手：

• 采用安全的网络架构，杜绝未知接入。

• 部署网络安全设备，精确识别和抵御攻击行为。

• 配置策略阻止未知来源的网络连接。

1. 采用安全的网络架构，杜绝未知接入。

合理的网络架构设计需要可以保障网络的物理安全、数据安全和主机系统安全。网络架构是网络安全的基础，一些重要的内容应当在物理架构上保证安全。比如把有线和无线区分不同的VLAN，无线不允许访问内网。

2. 部署网络安全设备，精确识别和抵御攻击行为。

通过在出口处部署一台网络安全设备，即可识别外网的攻击流量，阻止网络扫描以及后续的攻击行为。入侵防御系统可以对所有流量进行特征匹配，一旦匹配到网络渗透攻击就进行阻止。木马检测系统可以识别内网的木马流量，识别到被感染的主机后，网管人员需要到主机上去查毒；其中入侵防御和木马检测都是基于流量的特征进行识别的，而WSG的“主动防御”系统可以识别攻击的行为特征，从而对入侵防御和木马检测进行补充完善，阻止网络扫描、DDOS攻击等行为。

3. 配置策略阻止未知来源的网络连接。

由于大部分的攻击都是来自国外，如果可以的话，建议屏蔽所有的国外来源IP。这样可以有效的提高网络安全指数。如下图，在WSG上网行为管理的防火墙规则中，配置两条策略，一条“只允许中国IP”，一条“禁止全部外网转发”；把“只允许中国IP”放在“禁止全部外网转发”的上面，这样的效果就是只有中国的IP才会被允许，其余一律会被屏蔽掉。