20251903 2025-2026-2 《网络攻防实践》第五周作业
一、实践内容
1、本次实验应达到的目标
实验(1):防火墙配置:掌握 Linux 系统 iptables 或 Windows 防火墙的核心配置逻辑,能够针对 ICMP 协议、特定 IP 访问权限进行精准规则配置,理解防火墙的包过滤机制与访问控制原理,验证规则生效效果并掌握基础调试方法。
实验(2):Snort 入侵检测实操:熟练使用 Snort 工具对离线 pcap 数据包进行入侵检测,掌握 Snort 配置文件修改、日志输出配置、离线数据包检测的核心指令,能够解读 Snort 报警日志并识别网络攻击类型,理解入侵检测系统(IDS)的流量分析与规则匹配机制。
实验(3):蜜网网关规则分析:深入分析蜜网网关的防火墙(iptables)与 IDS/IPS 配置规则,理解蜜网“捕获攻击数据、控制攻击行为、隔离恶意流量”的核心设计思路,掌握防火墙与 IDS/IPS 协同防护的实现逻辑,建立蜜罐/蜜网的安全防护认知。
2、各实验核心知识点
2.1 实验一(防火墙配置)核心知识点
(1)防火墙包过滤核心机制:工作在网络层/传输层,基于数据包的源 IP、目的 IP、协议类型、端口号等特征进行规则匹配,决定“允许(ACCEPT)、拒绝(REJECT)、丢弃(DROP)”数据包,实现访问控制。
(2)ICMP 协议过滤原理:ICMP 协议用于网络连通性检测(如 Ping 基于 Echo Request/Reply 报文),防火墙通过拦截 ICMP Echo Request(Type=8)报文,使主机不响应 Ping 请求,实现“禁 Ping”效果。
(3)基于 IP 的服务访问控制:针对特定应用层服务(FTP/HTTP/SMB)对应的端口(21/80/445),配置“仅允许指定 IP 访问、拒绝其他所有 IP”的规则链,实现精细化访问权限管控。
(4)iptables 规则优先级:规则按“从上到下”顺序匹配,匹配到第一条符合条件的规则后立即执行,需遵循“先精确规则、后通用规则”“先拒绝、后允许”的配置逻辑。
2.2 实验二(Snort 入侵检测)核心知识点
(1)Snort 工作模式:离线检测模式下,从 pcap 文件读取流量数据,通过“规则解析→流量匹配→报警输出”流程完成入侵检测;核心组件包括规则引擎、数据包解码器、日志/报警模块。
(2)Snort 规则配置:规则由“动作(alert/log/pass)、协议、源 IP/端口、方向、目的 IP/端口、触发条件”组成,snort.conf 配置文件用于指定规则文件路径、日志输出格式、报警存储位置。
(3)pcap 数据包解析:pcap 文件记录网络流量的原始数据包,Snort 解析数据包的二层/三层/四层头部信息,匹配预定义规则后生成报警日志,日志包含攻击时间、源目 IP/端口、攻击类型等关键信息。
(4)常见攻击检测特征:网络扫描(端口扫描、主机发现)的流量特征为“短时间内向多个端口/IP 发送探测包(SYN/ICMP)”,Snort 通过匹配此类特征规则触发报警。
2.3 实验三(蜜网网关规则分析)核心知识点
(1)蜜网网关核心定位:作为蜜罐与外网的唯一连接点,兼具“攻击捕获”与“行为控制”双重功能,通过防火墙实现流量隔离与转发,通过 IDS/IPS 实现攻击行为检测与记录。
(2)防火墙规则设计逻辑:① 放行外网到蜜罐的攻击流量,确保攻击行为可被捕获;② 限制蜜罐对外的主动连接,防止蜜罐沦为攻击跳板;③ 记录所有进出蜜罐的流量日志,为攻击溯源提供依据。
(3)IDS/IPS 规则设计逻辑:① 覆盖常见攻击类型(扫描、溢出、注入)的检测规则;② 对攻击行为进行分级报警(低/中/高风险);③ 联动防火墙实现对高危攻击的实时阻断;④ 完整记录攻击数据包与会话信息,用于攻击分析。
(4)协同防护机制:防火墙负责流量的基础访问控制,IDS/IPS 负责深度检测恶意行为,两者日志联动形成“流量管控-行为检测-攻击溯源”的完整闭环,实现蜜网的安全可控与攻击数据全量捕获。
3、各实验所需的操作指令
3.1 防火墙配置实验(iptables)核心指令
| 指令 | 原文对应场景 | 核心用途 |
|---|---|---|
ifconfig |
1.1环境准备、1.4端口访问控制准备 | 查看主机IP地址、网卡信息,确认多台实验主机处于同一局域网 |
ping 192.168.200.68 |
1.3 ICMP过滤实验 | 测试机向Kali主机发起Ping请求,验证禁Ping规则生效前后的网络连通性 |
sudo iptables -L |
1.2初始规则查看、1.3规则校验 | 查看iptables全量规则列表,校验初始状态、规则添加/删除后的生效情况 |
sudo iptables -A INPUT -p icmp -j DROP |
1.3 ICMP过滤规则配置 | 在INPUT链追加规则,丢弃所有入站ICMP数据包,实现主机禁Ping效果 |
sudo iptables -D INPUT -p icmp -j DROP |
1.3 实验后规则清理 | 删除上述ICMP丢弃规则,恢复主机Ping响应能力 |
python3 -m http.server 8080 |
1.4端口控制准备、问题排查替代方案 | 在Kali主机启动绑定8080端口的简易HTTP服务,用于端口访问控制规则的验证 |
sudo iptables -F |
1.4规则配置前初始化、1.5实验后环境还原 | 清空iptables所有链的现有规则,完成环境初始化、实验后规则清理 |
sudo iptables -A INPUT -p tcp --dport 8080 -s 192.168.200.64 -j ACCEPT |
1.4 白名单规则配置 | 在INPUT链追加规则,仅允许指定源IP(192.168.200.64)访问本机8080 TCP端口 |
sudo iptables -L INPUT -n -v |
1.4规则校验、1.5清理后校验 | 以数字格式+详细模式查看INPUT链规则,精准校验规则条目、匹配流量统计 |
sudo iptables -A INPUT -p tcp --dport 8080 -j DROP |
1.4 兜底拒绝规则配置 | 在INPUT链追加规则,拒绝所有非白名单IP访问本机8080 TCP端口 |
curl http://192.168.200.68:8080 |
1.5 规则效果验证 | 从测试主机发起HTTP请求,验证8080端口访问控制规则的生效效果 |
3.2 Snort入侵检测实验核心指令
| 指令 | 原文对应场景 | 核心用途 |
|---|---|---|
sudo snort -r /etc/snort/listen.pcap -c /etc/snort/snort.lua -A alert_fast -l /var/log/snort |
2.2 离线流量检测 | 核心检测指令:离线读取pcap流量文件、加载规则配置、按fast格式输出报警日志到指定目录 |
apt install snort |
问题排查-Snort安装失败 | Snort工具初始安装指令 |
apt update |
问题排查-软件源修复 | 更新Linux系统软件源列表,修复软件源连通性问题 |
nano /etc/apt/sources.list |
问题排查-软件源修复 | 编辑系统软件源配置文件,修复源地址不可达问题 |
apt install snort --fix-missing |
问题排查-依赖修复 | 自动修复依赖缺失问题,重新完成Snort工具安装 |
3.3 蜜网网关规则分析实验核心指令
| 指令 | 原文对应场景 | 核心用途 |
|---|---|---|
vim /etc/init.d/rc.firewall |
3.1 蜜网网关防火墙规则深度分析 | 打开蜜网网关防火墙核心启动脚本,分析iptables规则设计逻辑 |
vim /etc/rc.d/init.d/snortd |
3.2 蜜网网关Snort运行参数与IPS模式分析 | 查看蜜网网关Snort IDS/IPS服务启动脚本,分析运行参数与核心配置 |
$SNORT -D -c ${CONF} -Q -l $DIR/$DATE -t $DIR |
3.2 蜜网网关Snort运行参数与IPS模式分析 | 配套启动状态校验、进程文件清理、运行锁创建等保障逻辑,实现蜜网核心的攻击检测与实时控制能力 |
chkconfig --listgrep iptables |
3.3 蜜网网关服务自启状态验证与运行细则 | 查看防火墙服务自启状态 |
chkconfig --listgrep snort |
3.3 蜜网网关服务自启状态验证与运行细则 | 查看 Snort IPS 服务自启状态 |
二、实践过程
1、防火墙配置(Linux操作系统平台上的iptables)
1.1 环境准备
本次实验我选用 kali-linux-2025.2-vmware-amd64 作为配置主机,SEEDUbuntu9 作为测试主机、并分别执行ifconfig命令,查看本机IP地址与网卡信息,确认靶机与Kali、WinXP攻击机处于同一局域网。
得到kali-linux-2025.2-vmware-amd64的IP地址为 192.168.200.68、SEEDUbuntu9的IP地址为 192.168.200.65,
1.2 查看初始规则,显示IPTables规则列表
我在kali-linux-2025.2-vmware-amd64主机上执行 sudo iptables -L ,查看当前iptables规则,初始状态下无自定义规则,所有流量默认放行。
1.3 过滤ICMP数据包,使得主机上不接受Ping包
首先,我在SEEDUbuntu9主机上,输入命令 ping 192.168.200.68 尝试 ping kali-linux-2025.2-vmware-amd64主机,可以看到此时是可以联通的。
其次,我在 kali-linux-2025.2-vmware-amd64主机上 执行sudo iptables -A INPUT -p icmp -j DROP指令,添加ICMP报文丢弃规则。
之后,我再次在kali-linux-2025.2-vmware-amd64主机上执行 sudo iptables -L ,查看当前iptables规则,可以发现ICMP报文丢弃规则已经被成功添加。
最后,我回到SEEDUbuntu9主机上,输入命令 ping 192.168.200.68 尝试 ping kali-linux-2025.2-vmware-amd64主机,可以看到此时百分百的包丢失,说明规则生效。
该实验结束后,我再回到 kali-linux-2025.2-vmware-amd64主机上执行sudo iptables -D INPUT -p icmp -j DROP指令,将我们之前加入的ICMP报文丢弃规则删除即可。
1.4 配置TCP(8080)端口访问控制
首先,我打开kali-Linux-2020.1-vmware-amd64主机,执行ifconfig命令,查看本机IP地址与网卡信息,得到其IP地址为192.168.200.64
其次,我在kali-linux-2025.2-vmware-amd64主机上执行python3 -m http.server 8080命令,启动一个简易 Web 服务器
最后,我在kali-linux-2025.2-vmware-amd64主机上,依次输入以下指令
- 清空所有残留规则:
sudo iptables -F; - 允许特定IP地址访问:
iptables -A INPUT -p tcp --dport 8080 -s 192.168.200.64 -j ACCEPT; - 查看当前防火墙规则
sudo iptables -L INPUT -n -v,发现已成功添加允许特定IP地址访问的命令 - 拒绝其他IP地址访问:
iptables -A INPUT -p tcp --dport 8080 -j DROP; - 再次查看当前防火墙规则 :
sudo iptables -L INPUT -n -v,发现已成功添加拒绝其他IP地址访问的命令
1.5 验证访问控制效果
首先,我打开kali-Linux-2020.1-vmware-amd64主机访问kali-linux-2025.2-vmware-amd64的TCP端口:curl http://192.168.200.68:8080,发现可以成功建立连接;
其次,我从电脑本机的命令行页面直接访问kali-linux-2025.2-vmware-amd64的TCP端口:curl http://192.168.200.68:8080,发现连接被拒绝,验证结果符合“仅允许指定IP访问FTP服务”的配置要求。
最后,我在kali-linux-2025.2-vmware-amd64主机上,依次输入以下指令
- 清空所有残留规则:
sudo iptables -F; - 查看当前防火墙规则
sudo iptables -L INPUT -n -v,发现我们之前加入的规则已被成功删除。 - 再次从电脑本机的命令行页面访问kali-linux-2025.2-vmware-amd64的TCP端口:
curl http://192.168.200.68:8080,发现这次连接成功,交叉验证了本实验的正确性。
2、Snort入侵检测实操
2.1 环境准备
1.在实验开始前,我在学习通上下载已经提前备好的listen.pcap文件到自己电脑主机的桌面,之后将该文件拉到kali虚拟机的终端里,在终端里便会显示该文件的路径。
2.2 执行离线检测
我对已有的listen.cap进行入侵检测,sudo snort -r /etc/snort/listen.pcap -c /etc/snort/snort.lua -A alert_fast -l /var/log/snort可以看到检测到的数据包信息,具体的参数说明为:
-r:离线读取抓包文件listen.cap,无需实时抓包,专注分析已有流量;-c:指定Snort配置文件,,加载snort.lua规则库,日志报警的核心依据是该规则库的攻击特征匹配。-l:指定报警日志的输出目录-A alert_fast:报警日志采用alert_fast格式(核心字段:时间戳、源 IP / 端口、目的 IP / 端口、攻击规则 ID (SID)、攻击描述、分类、优先级);
2.3 分析报警日志
在指令执行后,Snort 首先完成了核心配置文件与检测规则库的初始化加载,如下图所示:引擎同步加载了 arp_spoof、port_scan、http_inspect、stream_tcp 等 20 余类专项检测模块,同时完成file_inspect.rules_file、file_magic.rules等规则文件的加载,为后续流量检测搭建完整的规则匹配框架。
其次,Snort 完成全量规则库加载后,输出规则加载与引擎初始化统计结果,如下图所示:本次实验共成功加载 219 条有效入侵检测规则,所有规则均已启用;同时完成快速模式匹配引擎初始化,累计加载 438 条攻击特征模式,配置 pcap DAQ 为离线读文件模式,正式启动对listen.pcap文件的数据包解析与入侵检测处理。
随后,Snort 完成了 pcap 文件全量数据包的接收与分析,输出基础流量与协议分布统计结果,如下图所示:本次共处理离线抓包文件 1 个,累计接收并完成分析的数据包共 135580 个,总流量大小 8139156 字节;协议分布上,TCP 协议数据包占比 99.950%,为本次流量的绝对主体,同时检测到 ARP 协议数据包 20 个、UDP 协议数据包 3 个;专项检测模块中,arp_spoof 模块完成 20 个 ARP 数据包的欺骗行为检测,port_scan 端口扫描检测模块完成 135515 个数据包的扫描行为识别。
紧接着,Snort 输出 TCP 会话与端口扫描专项检测的深度统计结果,如下图所示:port_scan 端口扫描模块累计跟踪到 6 个独立的端口扫描行为会话;stream_tcp TCP 流管理模块累计完成 67657 个 TCP 会话的全生命周期管理,精准识别到会话中的 SYN 请求 67657 次、SYN+ACK 响应 83 次、RST 复位报文 67549 次,完整还原了 TCP 会话的交互过程,为异常 TCP 行为检测提供了流数据支撑。
之后,Snort 输出 UDP 流、应用层协议与应用识别的统计结果,如下图所示:stream_udp UDP 流管理模块累计处理 3 个 UDP 会话,总流量 129 字节;telnet 远程登录协议检测模块累计处理 1 个相关数据包;wizard 扫描行为检测模块累计识别到 19 次 TCP 扫描行为,其中 7 次命中扫描特征规则;应用识别模块 Appid 累计检测到 7 个未知服务、3 个客户端应用,完成了流量中应用层服务的精准识别。
3、蜜网网关规则分析
3.1 蜜网网关防火墙规则深度分析
首先,我登录了蜜网网关 HoneyWall2 的终端,在脚本中执行vim /etc/init.d/rc.firewall指令,打开蜜网防火墙核心启动脚本。
该脚本为 The Honeynet Project 官方开发的开源蜜网管控程序,是蜜网网关 iptables 防火墙规则的核心加载入口,所有流量管控、数据捕获的底层规则均通过该脚本统一配置与生效,为蜜网实现攻击数据捕获、攻击行为控制提供了基础的防火墙框架支撑。
其次,我查看了蜜网网关的全局核心配置文件,该配置文件定义了防火墙与 Snort IDS/IPS 服务的全局生效参数,是所有规则正常运行的前置基础。
核心配置分为以下两部分:
流量过滤核心配置:通过设置 HwBPF_DISABLE=no 启用 BPF 报文过滤机制,可基于蜜罐公网 IP、HwFWBLACK 黑名单、HwFWWHITE 白名单文件实现流量的精准过滤,为攻击数据的定向捕获、恶意流量的前置拦截提供了底层过滤能力;
Snort 规则管控配置:通过设置 HwRULE_ENABLE=no 关闭 Snort 规则自动更新,确保实验环境中入侵检测规则的稳定性,避免自动更新导致的规则匹配异常,保障攻击检测结果的可复现性。
之后,我查看了防火墙脚本中的自定义管控链创建逻辑,我通过create_chains()核心函数,根据全局配置的功能开关,条件化创建了三大核心 iptables 自定义规则链。该函数是蜜网实现攻击行为控制的核心前置规则,同时可对匹配黑白名单、围栏规则的数据包进行全量日志记录,完成攻击数据的定向捕获与留存。
核心配置分为以下三部分:
BlackList 链:通过设置 iptables -N BlackList 匹配黑名单 IP 的流量,直接 DROP 并记录日志,实现恶意 IP 前置拦截;
WhiteList 链:通过设置 iptables -N WhiteList 匹配白名单 IP 的流量,优先 ACCEPT,确保可信 IP 访问不受限;
FenceList 链:通过设置 iptables -N FenceList 限制蜜罐出站流量,仅允许蜜罐访问指定合法 IP / 端口,禁止蜜罐主动对外发起攻击(防止沦为攻击跳板)。
再之后,我查看了脚本中蜜网网关管理接口的专属访问控制策略,通过management_policy()核心函数,定义了蜜网网关管理口的精细化防火墙规则,该函数是保障蜜网网关自身安全、稳定运行的核心配置。从根源上避免攻击者接管蜜网网关,保障了攻击数据捕获、攻击行为控制相关的所有防火墙与 IPS 规则持续稳定生效,是蜜网安全体系的核心基础保障。
函数先校验管理网卡配置有效性,对允许入站的 TCP 端口与 SSH 管理端口进行去重处理,避免规则冲突;
随后分两种场景配置访问规则:
当管理权限设置为 “any” 时:允许所有 IP 通过管理网卡访问指定管理端口,同时预留了 debug 级别的访问日志记录规则,可完整留存网关管理口的所有访问行为;
当配置了指定管理 IP 时:仅允许可信管理 IP 访问网关管理端口,实现管理权限的最小化管控。
最后,我查看了脚本中的协议分类处理链配置,该脚本通过条件判断语句,根据配置的流量速率阈值,分别创建了tcpHandler/udpHandler/icmpHandler/otherHandler四个协议处理链,对应 TCP、UDP、ICMP 及其他协议的专项流量处理。
该配置实现两大核心能力:
攻击数据全量捕获:通过自定义链中内置全流量日志记录规则,可对进出蜜网的所有数据包按协议分类记录源 IP、目的 IP、端口、数据包内容等核心信息,完整留存攻击行为数据;
攻击行为边界控制:通过流量速率阈值限制,防止蜜网内失陷主机发起的攻击流量溢出到外部网络,避免蜜网成为攻击跳板,同时可对异常协议流量进行初步拦截。下面可以看见蜜罐网关的防火墙基础规则。
3.2 蜜网网关Snort运行参数与IPS模式分析
首先,我登录了蜜网网关 HoneyWall2 的终端,执行vim /etc/rc.d/init.d/snortd指令,以查看蜜网网关 Snort IDS/IPS 的基础运行环境配置,在下面的截图中可以看到,脚本中完成了 Snort 服务的核心运行参数初始化:默认配置 Snort 以 snort 用户、snort 用户组非特权身份运行,降低服务自身被攻击的风险;
其次,我通过变量控制二进制日志开关,可完整留存原始攻击数据包;指定默认加载/etc/snort/snort.conf入侵检测规则配置文件,绑定监听 eth0 网卡以捕获蜜网全量流量。
该配置为 Snort 实现攻击特征识别、攻击数据留存提供了完整的运行环境支撑,确保入侵检测引擎可正常解析流量、匹配攻击规则、记录攻击日志。可以看到默认使用默认目录下的snort.conf规则,默认监听网卡为eth0,配置文件的位置在/etc/snort/snort.conf。
最后,我分析了 Snort_inline IPS 模式的核心启动指令与运行机制。在终端中执行指令:$SNORT -D -c ${CONF} -Q -l $DIR/$DATE -t $DIR,同时配套了启动状态校验、进程文件清理、运行锁创建等保障逻辑。该配置实现了蜜网核心的攻击检测与实时控制能力,具体参数说明如下:
-D:让 Snort 以守护进程后台运行,实现 7×24 小时不间断流量检测;
-Q:启用 QUEUE 模式,联动 iptables 的 NFQUEUE 机制,将检测到的恶意流量直接在内核层阻断,实现攻击行为的实时控制;
-l:按日期分目录存储攻击报警日志,实现攻击数据的规范化捕获与可追溯管理;
-t:实现沙箱化运行,提升 IPS 服务自身的抗攻击能力。
3.3 蜜网网关服务自启状态验证与运行细则
我在蜜网网关终端依次执行以两条下指令,验证防火墙与 IPS 服务的开机自启配置
查看防火墙服务自启状态: chkconfig --list | grep iptables
查看 Snort IPS 服务自启状态: chkconfig --list | grep snort
由上图中的结果可以看到,iptables 服务与 hw-snort_inline 服务均在 2、3、4、5 系统运行级别默认开启,snortd 传统 IDS 服务默认关闭。该配置确保蜜网网关开机后,自动加载防火墙流量管控规则、启动 Snort_inline 入侵防御服务,无需人工干预即可实现全生命周期的攻击数据捕获与攻击行为控制,同时采用 inline IPS 模式替代传统 IDS 模式,实现了从 “仅告警” 到 “检测 + 拦截” 的能力升级,完美匹配蜜网的攻击管控需求。
三、学习中遇到的问题以及相应的解决措施
1、防火墙配置问题
问题:telnet连接失败:执行telnet 192.168.200.124时提示“Unable to connect to remote host: No route to host”,原因在排除了几台主机没有选择同一个虚拟网卡,比如全部选「VMnet8(NAT 模式)」,或全部选「VMnet0(桥接模式)」,或全部选「仅主机模式」、网络没有连接上以后依然没能解决。
最后,更换了一种思路转而执行python3 -m http.server 8080命令,启动一个简易 Web 服务器,再依次输入以下指令
-
清空所有残留规则:
sudo iptables -F; -
允许特定IP地址访问:
iptables -A INPUT -p tcp --dport 8080 -s 192.168.200.64 -j ACCEPT; -
查看当前防火墙规则
sudo iptables -L INPUT -n -v -
拒绝其他IP地址访问:
iptables -A INPUT -p tcp --dport 8080 -j DROP; -
再次查看当前防火墙规则 :
sudo iptables -L INPUT -n -v打开kali-Linux-2020.1-vmware-amd64主机访问kali-linux-2025.2-vmware-amd64的TCP端口:
curl http://192.168.200.68:8080,发现可以成功建立连接;再从电脑本机的命令行页面直接访问kali-linux-2025.2-vmware-amd64的TCP端口:curl http://192.168.200.68:8080,发现连接被拒绝,验证结果符合“仅允许指定IP访问FTP服务”的配置要求。
2、Snort入侵检测问题
问题:执行apt install snort指令 失败了,出现了:Network is unreachable:无法连接到软件源服务器
和Unable to fetch some archives:下载依赖包失败
在执行了apt update命令,更新软件源列表,确保能正常获取最新的包信息后,紧接着执行了nano /etc/apt/sources.list命令,编辑了源文件,修复了相关的网络问题,最后执行了apt install snort --fix-missing重新安装后,可以正常使用
四、学习感悟
通过本次网络攻防实验的完整实操,我对防火墙包过滤机制、入侵检测系统工作原理、蜜网网关的攻防设计逻辑有了从理论到落地的全面认知,也在一次次的指令执行、问题排查、效果验证中,切实提升了网络安全实操能力。实验中从最基础的iptables规则配置开始,看似简单的禁Ping、端口访问控制,实则需要精准把握规则的优先级与匹配逻辑,过程中遇到的telnet连接失败、规则不生效等问题,也让我明白网络安全实操从来不是单纯的指令复制,而是要结合网络环境、服务状态、协议原理去综合排查问题,灵活调整验证方案。
在Snort入侵检测的实操中,我完整走完了从环境搭建、配置文件修改到离线流量检测、日志分析的全流程,理解了入侵检测的核心是基于特征规则的流量匹配,也意识到只有读懂网络流量的底层特征,才能真正看懂报警日志、识别攻击行为,而不是单纯依赖工具输出结果。安装Snort时遇到的软件源连通性、依赖缺失问题,也让我夯实了Linux系统环境配置的基础能力,明白了稳定的运行环境是所有安全实操的前提。
蜜网网关规则分析的环节,彻底刷新了我对网络安全防护的固有认知,蜜网并非一味地拦截攻击,而是在可控范围内放行攻击流量、全量捕获攻击数据,同时通过边界规则限制攻击扩散,这种“攻防平衡”的设计思路,让我真正理解了安全防护的本质不是绝对的隔绝,而是可控的风险管控。防火墙做基础边界管控、IDS/IPS做深度行为检测的协同模式,也让我建立了分层防护、联动闭环的安全思维,为后续深入学习网络攻防技术打下了坚实的基础。
浙公网安备 33010602011771号