由于管理SQL注入頗為復(fù)雜，并且使漏洞利用過程自動化的大量工具幾乎都可免費獲得，所以惡意攻擊者將繼續(xù)利用SQL注入漏洞對付面向公眾的網(wǎng)站，作為其獲取關(guān)鍵基礎(chǔ)架構(gòu)系統(tǒng)和網(wǎng)絡(luò)的一種方式。

與其它網(wǎng)絡(luò)漏洞利用的復(fù)雜方法相比，SQL注入所使用的技術(shù)相對易于學(xué)習(xí)。它易于實施，但其造成的危害卻可能會使系統(tǒng)完全癱瘓，面向互聯(lián)網(wǎng)的企業(yè)仍極易遭受這種攻擊。訪問遭受損害網(wǎng)站的訪問者有可能無意識中安裝了惡意代碼，并被重定向到一個惡意網(wǎng)站，損害其系統(tǒng)中的其它漏洞，或其系統(tǒng)被用于攻擊第三方網(wǎng)站。受感染數(shù)據(jù)的業(yè)務(wù)價值和敏感性決定了SQL注入損害的長期影響，并隨著每個被損害對象和每次損害而變化。由于這些漏洞的持續(xù)流行，如今的有許多工具都可以使SQL漏洞的利用更容易，這些工具的傳播對于理解關(guān)鍵基礎(chǔ)架構(gòu)的當(dāng)前風(fēng)險非常有益。

一個案例

A公司有一個存在多年的購物網(wǎng)站，當(dāng)然，其多數(shù)客戶使用的是一個更新的更安全的網(wǎng)站。在搭建新網(wǎng)站時，許多客戶并不遵循新網(wǎng)站的數(shù)據(jù)處理和加密需求，所以老購物網(wǎng)站被用于適應(yīng)這些客戶。

隨著越來越多的客戶使用新網(wǎng)站，在服務(wù)等級合約到期后，對老網(wǎng)站的維護也就終止了。此外，由于多數(shù)通信被集中到新網(wǎng)站，管理員開始將其努力更多地放在新網(wǎng)站，最終完全忘記了老的購物網(wǎng)站。但是，它仍位于互聯(lián)網(wǎng)上，企業(yè)也不再管理它，不為它打補丁，幾乎把它忘掉，但它仍有連接到內(nèi)部網(wǎng)絡(luò)的關(guān)鍵連接。

此外，由于老購物網(wǎng)站仍在使用，該公司的基礎(chǔ)架構(gòu)（DMZ、防火墻）需要進(jìn)行配置，以使系統(tǒng)（僅使用簡單的加密和認(rèn)證協(xié)議）能夠到達(dá)后端數(shù)據(jù)庫。這會導(dǎo)致企業(yè)的架構(gòu)產(chǎn)生多個安全漏洞。

同時，正準(zhǔn)備攻擊某個主要防御代理服務(wù)器的攻擊者了解到該代理服務(wù)器與A公司有連接。攻擊者判定到達(dá)防御代理服務(wù)器的最佳方法是利用A公司的防御漏洞，并開始執(zhí)行對A公司的網(wǎng)絡(luò)偵察，知道了到該公司公開注冊的IP地址空間，利用自動的Web漏洞掃描器掃描A公司所有面向公眾的機器。

攻擊者很快就發(fā)現(xiàn)了有漏洞的老購物網(wǎng)站，并利用了一個可免費獲得的SQL注入漏洞工具，進(jìn)而獲得了后端數(shù)據(jù)庫的訪問。攻擊者很快地就向數(shù)據(jù)庫服務(wù)器上傳了特權(quán)提升和憑據(jù)竊取工具，利用DMZ和防火墻中的漏洞，然后，就可以訪問管理員的登錄憑據(jù)，創(chuàng)建其自己的管理員賬戶，并且上傳后門文件，以便于以后隨意進(jìn)行遠(yuǎn)程訪問，并可以在網(wǎng)絡(luò)中跳轉(zhuǎn)。由于A公司網(wǎng)絡(luò)的架構(gòu)存在這種缺陷，所以攻擊者能夠訪問整個網(wǎng)絡(luò)，并隨意訪問任何機器和上傳自己需要的任何工具或程序。攻擊者還可以控制整個網(wǎng)絡(luò)，洞悉A公司與主要防御代理服務(wù)器的連接，并將訪問A公司網(wǎng)絡(luò)當(dāng)作一個跳板?？梢哉f，SQL注入攻擊代表著任何由數(shù)據(jù)庫驅(qū)動網(wǎng)站的嚴(yán)重威脅。其背后的方法易于學(xué)習(xí)，而其造成的危害卻相當(dāng)巨大。雖然有這些風(fēng)險，但網(wǎng)絡(luò)上仍有大量的系統(tǒng)易于遭受這種攻擊。但是，管理員通過計劃和正確的實施，幾乎可以完全預(yù)防這種威脅。

SQL注入攻擊由SQL查詢的注入組成，它通過由客戶端向應(yīng)用程序輸入數(shù)據(jù)來實施。成功的SQL注入可以從數(shù)據(jù)庫中讀取敏感數(shù)據(jù)，修改（插入、更新、刪除）數(shù)據(jù)庫的數(shù)據(jù)、對數(shù)據(jù)庫執(zhí)行管理操作（如關(guān)閉數(shù)據(jù)庫管理系統(tǒng)）、恢復(fù)數(shù)據(jù)庫管理系統(tǒng)中特定文件的內(nèi)容，有時還可以向操作系統(tǒng)發(fā)布命令。

圖1顯示了前文所述的攻擊者最終完全損害網(wǎng)絡(luò)的步驟及其影響，也列舉了企業(yè)可用以對付攻擊的可擴展防御。

許多企業(yè)的網(wǎng)絡(luò)實施了其中的部分防御；為更好地保護網(wǎng)絡(luò)資源，企業(yè)應(yīng)盡量多地實施防御。企業(yè)必須使用深度防御策略來防御攻擊的所有階段。

防御

1.使用Web漏洞掃描工具查找和修復(fù)漏洞

這種方法可以使網(wǎng)絡(luò)所有者看出哪里易受攻擊。但這種方法需要花費不少時間并要求一定的技巧，而且掃描有可能引起不必要的警告。

網(wǎng)絡(luò)所有者和操作人員都應(yīng)當(dāng)對其網(wǎng)絡(luò)的狀態(tài)保持警惕。很重要的一點是，系統(tǒng)管理員使用可靠的漏洞掃描器，并制定和實施可以掃描所有公共Web服務(wù)器的計劃，能夠查找常見漏洞。在發(fā)現(xiàn)漏洞后，管理人員應(yīng)當(dāng)修復(fù)系統(tǒng)或打補丁。對于那些安裝老Web應(yīng)用程序的網(wǎng)絡(luò)來說，這尤其重要，因為隨著網(wǎng)站越來越老，會有越來越多的漏洞被發(fā)現(xiàn)或暴露。

為實現(xiàn)更強健的防御，建議企業(yè)掃描如下漏洞或缺陷：SQL注入、本地文件包含、跨站腳本攻擊、一般的編碼和輸入錯誤。

2.實施Web應(yīng)用防火墻和網(wǎng)絡(luò)入侵檢測系統(tǒng)

在SQL服務(wù)器前面實施Web應(yīng)用防火墻和網(wǎng)絡(luò)入侵檢測系統(tǒng)可以防止或阻止多種常見的注入企圖。

雖然修復(fù)Web應(yīng)用程序中的SQL注入漏洞很重要，但Web應(yīng)用防火墻可用作一種防止SQL注入企圖的重要措施。使用Web防火墻時，白名單是一種重要技術(shù)，因為攻擊者總是設(shè)法找到繞過黑名單的方法。

通過SQL注入，攻擊者可以使用三種主要方法破壞系統(tǒng)：

方法一，代碼的執(zhí)行特權(quán)（mysql中的存儲過程、oracle中java函數(shù)的創(chuàng)建、sql server中xp_cmdshell等等）

如果攻擊者可以通過數(shù)據(jù)庫直接執(zhí)行文件系統(tǒng)上的命令，而數(shù)據(jù)庫用戶又擁有系統(tǒng)的“執(zhí)行”特權(quán)，攻擊者就有能力看到并執(zhí)行他期望的任何操作。因為允許用戶地執(zhí)行“dir”命令是很危險的，所以請不要將“執(zhí)行”特權(quán)交給普通的數(shù)據(jù)庫用戶。

方法二，寫入或讀取文件系統(tǒng)上的文件（“INTO OUTFILE”命令）

如果攻擊者擁有文件系統(tǒng)的寫入許可，他就可以在網(wǎng)站上創(chuàng)建可執(zhí)行文件，并通過瀏覽器向其發(fā)送命令。

方法三，竊取SSH或telnet的登錄憑證

這并不是一種通過數(shù)據(jù)庫對系統(tǒng)攻擊的直接方法，而是一種獲取登錄憑據(jù)的方法，這種憑據(jù)可通過其它方式（SSH、telnet）用于登錄嘗試。

3.強化Web應(yīng)用

強化Web應(yīng)用是防止漏洞被利用的最有效方法，但這種方法的使用要求進(jìn)行測試，并往往需要重新編碼和對Web應(yīng)用進(jìn)行維護。

不安全的購物網(wǎng)站在攻擊者的攻擊中扮演著一種重要角色，尤其需要注意的是，這種網(wǎng)站可以充當(dāng)進(jìn)入后端數(shù)據(jù)庫的通道。強化這些Web應(yīng)用是防止入侵的一種關(guān)鍵措施，這應(yīng)當(dāng)成為每個企業(yè)全局操作和減輕威脅策略的一部分。

雖然SQL注入可能允許攻擊者竊取數(shù)據(jù)，甚至刪除企業(yè)的數(shù)據(jù)庫，但企業(yè)應(yīng)當(dāng)部署恰當(dāng)?shù)目刂?，目的是為了防止攻擊者“脫離”數(shù)據(jù)庫本身而進(jìn)入網(wǎng)絡(luò)。如果企業(yè)正在使用SQL Server，就要確保Web用戶的許可盡可能受到限制。要保證數(shù)據(jù)庫用戶賬戶并沒有給與系統(tǒng)特權(quán)，因為這是攻擊者脫離數(shù)據(jù)庫進(jìn)入網(wǎng)絡(luò)的主要方法之一。

對于SQL Server而言，管理員應(yīng)當(dāng)關(guān)注如下問題，一是要保證SA賬戶有一個強健的口令，二是要清除SQL的臨時用戶賬戶，三是要清除BUILTINAdministrators的服務(wù)器登錄，四是不能將許可授與公共角色。

許多攻擊者使用SQL注入獲得數(shù)據(jù)庫用戶的登錄憑據(jù)，其目的是使用這些憑據(jù)和SSH（或telnet）進(jìn)入系統(tǒng)。管理員要確保數(shù)據(jù)庫用戶賬戶的口令不同于系統(tǒng)的特權(quán)賬戶的口令，用以避免攻擊者進(jìn)入系統(tǒng)；還要保證所有的口令滿足最佳實踐所要求的復(fù)雜性，并改變數(shù)據(jù)庫賬戶上的所有默認(rèn)口令。如果企業(yè)還沒有加密數(shù)據(jù)庫或哈希用戶的口令，應(yīng)立即修復(fù)。

以下措施的目的在于減輕SQL注入的威脅、文件上傳、命令執(zhí)行以及其它已知的Web服務(wù)器漏洞。管理員必須注意，除傳統(tǒng)的服務(wù)器、桌面之外，開發(fā)和測試環(huán)境往往運行可公共訪問的服務(wù)器，如果這些服務(wù)器被利用了漏洞，也會導(dǎo)致網(wǎng)絡(luò)攻擊和破壞。

不同的企業(yè)和角色都要積極地保證Web應(yīng)用程序的安全。下面的這些減輕威脅的措施可根據(jù)不同的企業(yè)和角色進(jìn)行分組，并根據(jù)具體的企業(yè)結(jié)構(gòu)和本地策略而變化。

SA應(yīng)實施的減輕威脅的措施包括：確認(rèn)企業(yè)網(wǎng)絡(luò)上的所有Web服務(wù)器和Web應(yīng)用，并保證其管理控制臺的安全；使正在運行的Web服務(wù)器和Web應(yīng)用的數(shù)量最小化；強化系統(tǒng)，減少漏洞被利用的機會，使攻擊者破壞系統(tǒng)的影響最小化；啟用日志，經(jīng)常檢查日志。

與SA和開發(fā)人員有關(guān)的減輕威脅的措施有：實施Web應(yīng)用防御，其方法是投資購買Web應(yīng)用防火墻，打開URL掃描或其它Web過濾器選項；限制攻擊者所造成的損害，要點是確保所有的Web應(yīng)用都通過最少特權(quán)進(jìn)行連接，限制并監(jiān)視在所有可訪問的Web目錄中的文件創(chuàng)建；減少攻擊者的成功機會，其方法是限制可以使用的字符輸入集，并設(shè)置最大的參數(shù)大小，從Web服務(wù)器中移除非必須的HTTP命令；運行Web應(yīng)用漏洞掃描器，確認(rèn)漏洞。Web應(yīng)用開發(fā)人員可實施的減輕威脅的措施包括三方面：確認(rèn)已部署的代碼，要確保運行在網(wǎng)站上的所有代碼都是最新版本；用最佳方法編程；執(zhí)行定期的代碼檢查，即檢查Web應(yīng)用源代碼中的漏洞。

4.實施應(yīng)用程序白名單

應(yīng)用程序白名單是一種主動的安全技術(shù)，它僅允許經(jīng)許可的有限的程序運行，同時默認(rèn)地阻止所有的其它程序（包括多數(shù)惡意軟件）。相比之下，多數(shù)操作系統(tǒng)所實施的標(biāo)準(zhǔn)策略允許所有用戶下載并運行大量非授權(quán)的（或惡意的）應(yīng)用程序。應(yīng)用程序的白名單僅準(zhǔn)許管理員而不是用戶來決定運行哪些程序運行。

基于路徑的應(yīng)用程序白名單僅允許從文件系統(tǒng)中的特定位置運行程序。這種方法不需要確認(rèn)每個獨立程序和可執(zhí)行庫。管理員必須保護路徑，只有獲得授權(quán)的管理員可以安裝或修改文件，防止標(biāo)準(zhǔn)用戶和惡意活動繞過應(yīng)用程序的白名單策略。這些規(guī)則對系統(tǒng)性能的影響最小，并允許多數(shù)程序?qū)嵤└潞痛蜓a丁，而不需要變更任何規(guī)則，同時可以防止新的未授權(quán)程序和多數(shù)最新的惡意軟件?；谖募膽?yīng)用白名單可以使管理員根據(jù)文件名決定允許哪些文件運行。有些應(yīng)用程序有可能并不位于由基于位置的應(yīng)用白名單所確定的位置，用基于文件的白名單可以使管理員允許位于這些位置的文件運行。但由于文件名易被欺騙（篡改），實施應(yīng)用白名單的更安全方法是基于哈希的方法。在這種方法中，文件的哈希被用于指定是否允許一個文件運行。由于哈希不易被欺騙，所以這種方法可用于向應(yīng)用白名單策略提供更高的精細(xì)度和特異性。不過，這種方法還要求更多的工作，才能確保文件的哈希保持更新。

對于微軟的一些較新的操作系統(tǒng)，AppLocker是一種內(nèi)建的特性，它可以強化由管理員定義的白名單策略。AppLocker策略可通過標(biāo)準(zhǔn)的Windows組策略管理應(yīng)用進(jìn)行創(chuàng)建和管理。AppLocker可用于Windows Server 2012、Windows Server 2008 R2、Windows 8、Windows 7等操作系統(tǒng)。此外，有些主機入侵防御系統(tǒng)產(chǎn)品還可以執(zhí)行應(yīng)用白名單功能。

5.實施主機入侵防御系統(tǒng)

實施這種系統(tǒng)可以更廣泛進(jìn)行保護，并可以限制惡意軟件的行為。但主機入侵防御系統(tǒng)較難以建立，并需要耗費較多時間進(jìn)行監(jiān)視和管理。

計算機和系統(tǒng)安全的一個基本目標(biāo)就是保持每一臺主機的健康運行或完整性，而主機入侵防御系統(tǒng)可用于保護主機的完整性。在企業(yè)的部署中，主機入侵防御系統(tǒng)是集中管理的，而SA（超級管理員）會將策略和規(guī)則發(fā)布給每一臺主機。主機上惡意或異常行為都被反饋給管理系統(tǒng)，進(jìn)而據(jù)以采取行動。

為保證其有效性，非常關(guān)鍵的一點是主機入侵防御系統(tǒng)要擁有一套定義精細(xì)的策略或規(guī)則。廠商在其產(chǎn)品中定義了許多規(guī)則，但是要由SA調(diào)整這些策略才能滿足其具體的環(huán)境和解決所面臨的特定風(fēng)險。有些規(guī)則可能與業(yè)務(wù)操作相沖突，因而企業(yè)最好在測試網(wǎng)絡(luò)中測試所有的規(guī)則，在將其安裝到生產(chǎn)網(wǎng)絡(luò)中之前，先模擬生產(chǎn)環(huán)境。如果某條規(guī)則的變更影響了生產(chǎn)環(huán)境，企業(yè)就應(yīng)創(chuàng)建一種例外規(guī)則，重新定義規(guī)則直至沒有沖突產(chǎn)生，或者完全禁用規(guī)則。為使主機入侵防御系統(tǒng)的有效性最大化，并減少花費在部署主機入侵防御系統(tǒng)上的時間，企業(yè)應(yīng)預(yù)先構(gòu)建一個可管理的網(wǎng)絡(luò)。這包括移除或卸載不必要的應(yīng)用，清除或禁用不必要的服務(wù)，并確認(rèn)不正常的網(wǎng)絡(luò)通信的源頭。

多數(shù)主機入侵防御系統(tǒng)都有一種學(xué)習(xí)模式，它可以使設(shè)備被動地監(jiān)視網(wǎng)絡(luò)通信，以便于決定應(yīng)用程序如何實現(xiàn)功能以及什么才是正常通信。這種模式最好用于未遭受破壞的環(huán)境中。

6.控制管理特權(quán)

控制管理特權(quán)可以減少特權(quán)賬戶的暴露程度，并限制惡意軟件的訪問，但有可能導(dǎo)致用戶的抱怨，并有可能喪失一些靈活性。計算機系統(tǒng)的管理特權(quán)可以使用戶訪問多數(shù)用戶無法訪問的資源，并可以執(zhí)行本應(yīng)受到限制的操作。如果企業(yè)沒有正確地管理這種管理特權(quán)，特權(quán)的授權(quán)面又很大，再加上沒有嚴(yán)格的審核，攻擊者就能夠利用這種漏洞，并輕而易舉地在網(wǎng)絡(luò)中遷移。獲得管理特權(quán)一般都通過一種被稱為“特權(quán)提升”的技術(shù)而實現(xiàn)。特權(quán)提升是利用漏洞和設(shè)計缺陷的一種操作，它也能夠利用操作系統(tǒng)或應(yīng)用軟件中的配置錯誤，進(jìn)而訪問普通用戶無法訪問的資源。對管理特權(quán)的管理不善可以使攻擊者更容易地執(zhí)行這種技術(shù)。

非常重要的一點是，企業(yè)部署正確的控制可以防止攻擊者利用數(shù)據(jù)庫進(jìn)入網(wǎng)絡(luò)。如果企業(yè)正使用SQL Server，就應(yīng)確保Web用戶的許可盡可能受到限制。還要保證數(shù)據(jù)庫用戶的賬戶不會得到系統(tǒng)特權(quán)，因為這是攻擊者利用數(shù)據(jù)庫進(jìn)入網(wǎng)絡(luò)的主要方法之一。

在此，筆者提供如下建議：

將企業(yè)管理員與域管理員分離開；如果有可能，將活動目錄的管理員賬戶從企業(yè)管理員賬戶和域管理員賬戶分離開；不要允許本地賬戶訪問網(wǎng)絡(luò)，要從這些賬戶尤其是管理員賬戶中清除網(wǎng)絡(luò)交互登錄特權(quán)或遠(yuǎn)程交互登錄特權(quán)；如果無法實現(xiàn)物理管理，應(yīng)將遠(yuǎn)程登錄限制給少數(shù)特權(quán)用戶，并且僅允許從安全有保障的工作站進(jìn)行訪問；禁止本地賬戶訪問網(wǎng)絡(luò)；限制特權(quán)賬戶可以訪問的系統(tǒng)，對這些高級特權(quán)賬戶進(jìn)行限制，使其只能登錄到安全系統(tǒng)；從本地管理員組中清除標(biāo)準(zhǔn)用戶，不要將本地管理員組的成員資格授與標(biāo)準(zhǔn)用戶賬戶；確保管理員賬戶不能擁有電子郵件賬戶或互聯(lián)網(wǎng)的訪問；遵循最小特權(quán)原則，僅給與用戶只能完成其工作的許可；使用多因素認(rèn)證，為許可用戶訪問網(wǎng)絡(luò)資源，要使其證明自己的身份；要有效的管理口令，管理員賬戶的口令應(yīng)當(dāng)保證復(fù)雜性，要包含由字母、數(shù)字、特別字符的組合，而且至少包含14個字符；要求所有的管理員賬戶和其它特權(quán)賬戶經(jīng)常變更口令；指定專用系統(tǒng)，管理活動目錄并阻止通過互聯(lián)網(wǎng)訪問這些系統(tǒng)；禁止企業(yè)管理員和域管理員的服務(wù)登錄；禁用企業(yè)和域管理員的本地登錄；從本地管理員組清除企業(yè)和域管理員組；禁止委托特權(quán)賬戶；審查活動目錄用戶和計算機中的所有特權(quán)賬戶的屬性。

7.限制工作站之間的通信

這種方法的好處是減少哈希傳遞的技術(shù)，但設(shè)置難度較大，且有時會造成一些網(wǎng)絡(luò)中斷。準(zhǔn)許工作站之間的通信可以使網(wǎng)絡(luò)攻擊者輕易地擴展到多個系統(tǒng)，并可以在網(wǎng)絡(luò)內(nèi)建立一種有效的陣地，然后，攻擊者還可以建立進(jìn)出網(wǎng)絡(luò)的多種通信通道或后門，便于其日后的持久訪問。

對攻擊者來說，高價值的系統(tǒng)可能更難以訪問和利用其漏洞，所以攻擊者會企圖在網(wǎng)絡(luò)內(nèi)部進(jìn)行橫向移動（從網(wǎng)絡(luò)內(nèi)的一個工作站跳轉(zhuǎn)到另一個工作站），其目標(biāo)是找到進(jìn)入這些目標(biāo)的方法。攻擊者可以使用多種方法在網(wǎng)絡(luò)中水平移動，例如，他可以通過連接到工作站上一個開放的保護不善的共享目錄，或者通過一種更具有破壞性的哈希傳遞方法。

所有實施單點登錄環(huán)境中都存在一種嚴(yán)重漏洞：哈希傳遞以及重新利用合法憑據(jù)的其它形式。例如，在Windows、Linux 7、Mac 8中。哈希傳遞可以使攻擊者再次利用合法的管理員或用戶憑據(jù)，從網(wǎng)絡(luò)上的一個系統(tǒng)移動到另一個系統(tǒng)，卻無需破解口令。在攻擊者破壞了一臺主機后，他就可以重新利用竊取的哈希憑據(jù)進(jìn)而擴展到網(wǎng)絡(luò)上的其它系統(tǒng)，訪問特權(quán)用戶的工作站，獲取域管理員的登錄憑據(jù)，然后控制整個網(wǎng)絡(luò)環(huán)境。

利用防火墻規(guī)則限制通信，主要是設(shè)置Windows防火墻規(guī)則，特別是通過組策略防止工作站之間的通信。其關(guān)鍵是打開并啟用Windows防火墻或類似產(chǎn)品，還要設(shè)置防火墻，用以阻止非主動請求的進(jìn)入連接。如果企業(yè)還使用了其它防火墻，還要對其進(jìn)行同樣的設(shè)置。

企業(yè)必須控制管理特權(quán)，即要實施最少特權(quán)的管理模式，僅授與用戶完成其工作所必需的特權(quán)，并通過限制特權(quán)憑證的使用方式和使用地點來實施保護。管理人員還要利用私有VLAN從邏輯上隔離網(wǎng)段，即通過端口限制實施私有VLAN。

8.隔離網(wǎng)絡(luò)和功能

網(wǎng)絡(luò)由具有不同功能、目的、敏感程度的互聯(lián)設(shè)備組成，網(wǎng)絡(luò)也可能由多個網(wǎng)絡(luò)分段組成，這些網(wǎng)段包含Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、開發(fā)環(huán)境以及將不同部分連接起來的基礎(chǔ)設(shè)施。由于這些網(wǎng)段有不同的功能和安全問題，所以正確地隔離不同的網(wǎng)段對于防止網(wǎng)絡(luò)遭受漏洞利用和惡意企圖非常重要。如果攻擊者能夠獲得訪問，而網(wǎng)絡(luò)又沒有正確分段，他就能夠擴展其訪問，并在網(wǎng)絡(luò)中自由移動。在將網(wǎng)絡(luò)隔離成小的部分并限制不同部分的通信時，攻擊者的訪問范圍就受到了限制，而且他在網(wǎng)絡(luò)中橫向移動也受到嚴(yán)格限制。

阻止入侵者進(jìn)一步訪問網(wǎng)絡(luò)的能力對于保護敏感信息和更輕松地修復(fù)危害是至關(guān)重要的。限制設(shè)備的通信可以更好地監(jiān)視和發(fā)現(xiàn)入侵者從一個領(lǐng)域擴展到另一個領(lǐng)域的企圖。

為此，筆者提供如下建議：

1.如果有可能盡可能從物理上隔離網(wǎng)段，敏感功能應(yīng)當(dāng)擁有與遠(yuǎn)程或可公共訪問的Web環(huán)境相分離的基礎(chǔ)架構(gòu)中。

2.利用私有VLAN從邏輯上隔離網(wǎng)段。利用支持端口限制的私有VLAN，防止主機與同一子網(wǎng)上的其它主機通信。

3.利用VPN，建立通過公共或私有網(wǎng)絡(luò)的隧道，安全地擴展主機或網(wǎng)絡(luò)。

4.利用虛擬路由轉(zhuǎn)發(fā)（VRF）對虛擬基礎(chǔ)架構(gòu)上的網(wǎng)絡(luò)進(jìn)行分段，并且將網(wǎng)絡(luò)通信隔離成不同的區(qū)域。

5.在隔離的網(wǎng)絡(luò)和功能中保護敏感賬戶，限制這些特權(quán)賬戶和憑據(jù)可以進(jìn)一步阻止未授權(quán)的訪問。

“千里之堤，毀于蟻穴”。SQL注入漏洞有可能被攻擊者利用來進(jìn)入并破壞整個企業(yè)的網(wǎng)絡(luò)資源。安全管理者只有防微杜漸，實施深度防御，從物理上和邏輯上雙管齊下，才能真正有效地保護網(wǎng)絡(luò)，真正將攻擊者阻擋于網(wǎng)絡(luò)之外。