防范零日攻击的建议

　　现在，我们已经了解了零日攻击的攻击原理，也了解了零日攻击会给我们带来的安全风险，并且知道了它非常难于对付。但是，我们不能就此放任零日攻击的胡作非为，我们应该使用一些相应的安全手段，来减少被零日攻击析机率，或者就算我们不能防范零日攻击，但我们至少可以通过相应的方法来降低它所带来的影响。

　　实际上，虽然目前不能完全防范零日攻击，但是，使用下面所示的这些安全防范手段，还是能减少我们的网络和系统被零日攻击的机率，降低零日攻击造成的损失到最低水平的。

　　1、安装实时监控和主动防御设备

　　要防范零日攻击，降低其带来的影响，最好的方法就是在零日攻击活动开始进行时，就及时发现并阻止它。及时发现零日攻击活动最好的方式就是安装系统或网络实时监控软件，例如SysAid和Nagios，以及入侵防御系统(IPS)等主动防御设备，来实时检测和发现零日攻击行为。

　　虽然这些设备不可能做到百分之百的将零日攻击行为全部检测到，但是，通过主动防御设备对网络操作行为和网络连接状况进行实时监控，还是可以及时发现和阻挡相当一部分的零日攻击行为的。

　　主机型主动防御软件(如Tiny Firewall Pro防火墙及360安全卫士)，会对系统中的所有操作行为，例如运行某个软件，安装文件，对Windows注册表进行操作，以及使用软件连接互联网，都会被其实时监控到，并且会提示用户是否允许这些操作的进行。这样就给我们一个阻止零日攻击的机会，在它还没有造成影响之前就阻它继续进行，也就会降低其造成的影响。基于网络的主动防御设备就会对整个网络中的活动进行实时监控，并会对一些异常的流量进行警报和主动防御，如Strata Guard。通过这些设备的警报，我们就可以采取相应的方法来阻止零日攻击的继续进行。

　　就如在上面我提到过的一样，主动防御设备有时会对真正的网络攻击产生漏报，也会对正常的网络流量产生误报，因此，我们在使用主动防御设备的同进，还应当使用其它的安全防范手段来填补它的不足。

　　2、实施网络边界防范

　　实施网络边界防范主要是针对企业或机构中的内部局域网来说的，某个网络的边界都是针对其实际的内部网络而言的。

　　目前主要的网络边界防范方法包括下面这些内容：

　　(1)、在网络边界处安装行为分析设备，它在监控网络操作行为的同时，还能限制网络流量的大小，这样就能检测到不正常的网络操作行为，以及防止拒绝服务攻击(DoS);

　　(2)、在局域网内部安装状态包检测防火墙;

　　(3)、严格限制无线设备的网络接入方式;

　　(4)、加强移动存储设备的网络访问;

　　(5)、应用网络访问控制(NAC);

　　(6)、加强员工权限管理和文件访问许可制度。

　　 3、加固终端系统

　　计算机终端通常是整个网络环节中最薄弱的环节，对系统进行安全加固是一个减少系统被零日攻击的一个不错的方法。通常，我们可以通过下列的方式来加固系统：

　　(1)、建立良好的系统或应用程序补丁更新计划;

　　(2)、停用系统中不需要的服务和应用程序，关闭不使用的端口;

　　(3)、限制在浏览器中对JAVA和ActiveX等脚本的使用;

　　(4)、培训用户的网络操作行为，不要轻易打开电子邮件中的附件，点击电子邮件中的超级链接，以及点击其中的图片;

　　(5)、安装第三方安全软件(如基于主机的入侵防御系统(IPS))来加强系统安全;

　　4、加强网络基础设施的安全

　　加强网络基础设施的安全，能降低网络被零日攻击后造成影响的范围和严重程度。我们可以使用下列的方式来加强网络基础设施的安全：

　　(1)、在同一网段中使用虚拟局域网(VLAN)技术将一些重要的网络设备隔离，防止零日攻击对整个网段的影响;

　　(2)、将面向互联网的网络服务器放到一个单独的非军事化区域(DMZ)，将它们与内部系统隔离，减少由于公网服务器被零日攻击后造成对内部网络的影响;

　　(3)、在网络服务器上应用虚拟化技术来提供冗余系统，减少由于服务器系统被零日攻击后造成的非正常停机时间，降低其造成的损失。

　　5、建立一个良好的网络攻击事件响应计划，加强对各类事件的快速处理能力，这样能迅速阻止零日攻击的继续实施，将攻击影响的范围和造成的损失控制在一定的水平之内。

　　上述给出的这些应对零日攻击的方法，虽然不能绝对防止零日攻击活动的发生，但是，灵活地使用它们，还是能大大减少系统和网络被零日攻击的机率，以及当系统或网络被零日攻击后将其造成的损失控制在一定的范围之内。

　　到这里，我们应该已经对零日攻击有了一个比较全面的了解，也掌握了一些应对零日攻击的方法。但实际上，真正能解决零日攻击问题的方法是尽量减少系统和应用程序在编写过程中造成的编码错误，以及在系统和应用程序发布之前进行严格的前期测试，并且在后期对它们进行持续不断的安全检测。但是，对于一些动则上百万行代码的操作系统或应用程序来说，完全消除代码中的错误是一个不可能完成的任务，尤其是多人协作开发的软件更是如此。因此，零日攻击在今后相当长的一段时间内仍然会存在，我们应当使用本文介绍的这些方法，来减少被零日攻击的机率，以及降低零日攻击带来的损失，这是我们目前能够做到的。