笨驢信息(IMFirewall)博客

一些企事業單位出于工作和安全的需要，希望可以允許局域網內的電腦終端訪問互聯網，但是不允許發送數據到外網。這個需求從理論上來說其實是矛盾的，以Web訪問為例，當我們去訪問一個網頁的時候，用的是HTTP的GET指令，大概的格式是這樣的：

GET /path/to/resource HTTP/1.1 

Host: www.example.com

User-Agent: MyCustomUserAgent/1.0 

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 

Connection: keep-alive

瀏覽器告訴網站服務器這些信息：需要訪問的URL地址、域名、瀏覽器種類、壓縮類型、連接類型等。這個頭部的大小在RFC的定義中是2K字節，這是明文的HTTP方式。如果是HTTPS方式，還需要證書交換，上傳的數據大約8K字節。換句話說，即使只是瀏覽網站，每一次訪問也需要8K的上傳數據。所以說，只允許訪問但是不允許任何外發數據，這個需求是自相矛盾的，不能得到真正的實現。

雖然嚴格的完全只訪問不上傳是做不到的，但是我們可以通過限定上傳數據的大小來實現這個功能需求。如下圖：

一些企事業單位為了信息安全的目的，需要在允許終端訪問外網的同時屏蔽一切外發行為，即只能瀏覽和下載但是不允許外發和上傳。這個功能是比較專業的功能，需要專業的上網行為管理產品才可以實現。以WSG上網行為管理為例，WSG上網行為管理中有個“智能過濾”功能，該功能會檢測所有網絡連接并且進行統計，一旦發現上傳的數據量超過設置的閾值，就會禁止這個連接從而屏蔽上傳行為。如下圖所示：

有些單位出于工作目的，需要允許員工訪問百度網盤和百度文庫，但是又要屏蔽員工通過網盤和文庫上傳文件。由于百度旗下網站已經全面采用https的方式，傳統的基于IP地址、端口、甚至域名來做過濾，都無法實現這樣的需求。要實現類似功能，必須要有專業的上網行為管理產品。

以我們的WSG上網行為管理為例，應用過濾模塊中的“屏蔽疑似上傳”功能，可以對每個鏈接的上傳下載數據大小進行檢查，一旦發現疑似外發文件的行為，立刻切斷該連接。而且不會影響正常的瀏覽和下載。相關配置如下圖：

我們在工作中經常需要用到QQ和微信來交流和發送截圖，但是QQ和微信方便的外發文件功能，卻給企業的信息安全帶來挑戰。很多用戶咨詢如何在保留截圖功能的同時，又要屏蔽QQ和微信的外發文件功能。所以我們的技術人員專門做了針對性的測試。

本文中，我將介紹如何用WSG硬件網關（WFilter NGF）來屏蔽QQ和微信外發文件，同時保留截圖功能。

通訊協議分析

首先，QQ和微信的發送截圖和發送文件走的是同樣的數據通道。無法通過IP地址、通訊端口，以及協議特征來進行區分。這里我們要用到WSG行為管理的一個特色功能：屏蔽疑似文件上傳功能。如下圖：

隨著釘釘辦公的普及，越來越多的企事業單位采用釘釘作為日常的辦公工具。而釘釘使用是需要連接互聯網的，而且釘釘具有非常快捷方便的文件上傳功能。那么對局域網的網絡安全就帶來了一定的挑戰。主要在于如下兩點：

1. 如何不允許上外網的電腦使用釘釘，并且禁止其他的所有應用？
   

2. 如何防止員工通過釘釘軟件外發文件導致資料泄露？

下面我將針對這兩點需求來介紹具體的實現方案。

釘釘(DingTalk)是中國領先的智能移動辦公平臺，用于商務溝通和工作協同。越來越多企業采用釘釘來進行辦公自動化，但是由此帶來的信息安全問題也不能忽視。釘釘軟件可以很容易的上傳附件、外發和接收文件，從而威脅到網絡內部的信息安全。近來很多客戶提出需要屏蔽釘釘的外發文件功能，所以我們做了針對性的測試。下文是釘釘外發文件的協議詳解和如何屏蔽的方案。

1. 釘釘外發文件的協議分析

通過多次的抓包分析，釘釘PC版的外發文件和手機版的外發文件采用的不同的方式。

釘釘PC版的外發文件，主要通過sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com這兩個網站進行轉發。抓包分析如下圖：

在WFilter的“應用過濾”中，有個智能過濾的選項，可以選擇”屏蔽超過N字節的疑似上傳行為“。如下圖：

通過網絡上傳和外發文件有很多種方式，比如：

1. 各種文件傳輸方式，比如QQ文件、微信文件、FTP上傳等等。
   

2. 各類傳文件的網站，網盤和文件共享站點。直接在瀏覽器里面就可以上傳。

3. 通過郵件發送附件的方式。
   

局域網的文件泄露，主要是通過usb拷貝以及網絡傳輸的方式。我們在企業外發文件管控方案總結一文中，已經介紹了多種管控外發文件的方案。在本文中，我將介紹利用WSG上網行為管理網關如何來有效的管控外發文件。

1. 首先要屏蔽電腦的usb存儲設備。

需要在windows電腦的組策略里面禁止配置，把“禁止安裝可移動設備“修改成”已啟用“即可。當然，管理員權限就不能給使用者啦，要不然再把這個策略改回去就不起作用了。

出于信息安全的考慮，很多企業不允許工作電腦外發文件，但是QQ和微信又是常見的辦公工具。所以“既允許QQ和微信聊天，同時又不允許外發文件”，一直是企業管理的一個難題。其實上網行為管理技術經過十幾年的發展，已經可以精確的識別出文件傳輸和普通聊天的協議特征。專業的上網行為管理產品，都可以單獨屏蔽QQ和微信傳文件。以WSG上網行為管理網關為例，在“行為管理”的“應用過濾”中，搜索QQ，可以看到20多個QQ相關的應用協議，包括QQ聊天、QQ發文件、QQ接收文件、QQ游戲等各種相關應用。如下圖：

很多企業為了數據的安全，需要對外發文件進行管控。而手機、usb存儲的廣泛使用，使得外發文件的管控非常難以實現。在本文中，我將拋磚引玉，探討外發文件管控的幾種方式。外發文件的管控，需要考慮如下幾個方面：

• 屏蔽通過網絡外發文件

• 屏蔽藍牙、usb等外設外發文件
  

• 文件加密
  

有些用戶為了信息安全的需要，要求禁止所有的外發文件。不過，外發文件的途徑有很多，如：

1. 上傳到網盤。

2. 通過QQ、FTP等軟件發文件。

3. 作為郵件附件發送。

在本文中，我將演示如何用WFilter ICF上網行為管理軟件來禁止網盤等文件傳輸方式。