网络中的流量错综复杂，安全策略的部署不可能一蹴而就，而任何错误的操作都可能影响组织的正常工作，所有的安全人员都对此提心吊胆。在把防火墙接入网络之前，防火墙管理员最大的困惑是，如何开始配置防火墙安全策略，才能不影响业务运行？这个部署方法既适用于防火墙首次接入网络时初始部署安全策略，也适用于安全策略的优化。如果当前部署的某个安全策略不够精确（如指定了Any作为匹配条件），你可以参照这个方法来确定更具体的匹配条件。通常情况下，安全策略中不指定用户、应用、URL分类、时间段是可以接受的。

因为上级一直有个通告，单位的防火墙策略和APT都没办法找出来一个中毒的木马主机，今天在测试一个网络发包软件时，用wireshark抓了一下自己的icmp包，一看，有不少外网IP的icmp包，微步上查了一下，多数都是恶意IP，于是放进防火墙里。通过这个特点，也可以抓出部分中毒主机，还有一些病毒，是通过发出arp广播包，来探测局域网内的其它设备的，也可以通过这个 方法进行粗略的判别。另外，防火墙上，对恶意IP，一定要配置入方向和出方向的双向阻止策略，这样才可以用这个方法来检测。

1、策略优先级为：VPN路由>直连路由>静态路由>动态路由>DNS代理[重定向至指定线路]>优先负载策略>默认负载策略>默认路由>系统默认路由。2、适用用户选着对应需要匹配的用户，访问域名为需要解析的域名，目标DNS地址为当前用户配置的DNS服务器地址。DNS请求是由本机做了代理发起，DNS代理的功能无法对本机发包再做代理。然后把自己的IP加进去, 测试了一下, 果然DNS被拦截了, 策略有效!①、重定向至DNS服务器：指定到某个DNS服务器解析。②、解析为IP：指定解析为某个IP。

设置对端相应IP：set rhost IP。查找漏洞编号：search HoleID。列出选项：show options。列出：show payloads。列出选项：show options。打开控制台：msfconsole。设置：set payload。使用：use CVEID。执行：exploit。

它在Windows NT中运行于NetBT（NetBIOS over TCP/IP，端口137、139和138/UDP）之上。微软在Windows 2000/XP中启用了直接通过TCP/IP运行SMB的能力，而不需要额外的NetBT层，TCP端口445被用于此。445端口被较新版本的SMB（Windows 2000之后）利用在TCP堆栈之上，允许SMB在互联网上互动。恶意软件也可以渗透进来，因此通常建议停用它。然而，它也会阻止你进行文件和打印机共享，因此你可能需要在内部防火墙中允许该端口使用此类共享服务。

让您的MySQL服务器更安全

sql语法

burp网站sqli lab答案