笨驢信息(IMFirewall)博客

很多黑客攻擊、DDoS攻擊都來源于國外，所以對于大部分局域網來說，屏蔽國外IP就可以減少百分之九十的網絡安全風險。在本文中，我將介紹如何用WSG上網行為管理來屏蔽境外IP地址。

通過路由器或者網關的“端口映射”功能，可以把內網的網絡服務映射到外網，供互聯網上的用戶使用。一些公司的ERP、CRM、OA系統都會采用這樣的方式，使代理商、出差員工可以進行網絡辦公。端口映射的配置如下圖：

1. 端口映射的使用條件

端口映射需要滿足如下條件：

• 要有固定公網IP地址。如果沒有申請專線固定IP，運營商現在一般都直接分配內網IP地址，從公網上是訪問不到的。
  

• 如果要映射到外網的80、443、8080等常見Web端口，需要到運營商備案。

WSG的入侵防御和木馬檢測模塊基于snort特征庫，可以檢測和阻止各類網絡攻擊，這兩個模塊會對網絡中的數據通信進行檢測還原，匹配其中的木馬特征，一旦匹配到特征時就觸發告警和阻斷。

網絡滲透攻擊會嚴重威脅到企業的網絡安全和數據安全。攻擊者會有針對性地對某個目標網絡進行攻擊，以獲取其內部的商業資料，進行網絡破壞等。一旦其獲取了目標網絡中網站服務器的權限，還會利用此臺服務器，繼續入侵目標網絡，獲取整個網絡中所有主機的權限。為了實現滲透攻擊，攻擊者采用的攻擊方式絕不僅此于一種簡單的Web腳本漏洞攻擊。攻擊者會綜合運用遠程溢出、木馬攻擊、密碼破解、嗅探、ARP欺騙等多種攻擊方式，逐步控制網絡。

防御網絡滲透攻擊，主要從如下方面入手：

• 采用安全的網絡架構，杜絕未知接入。

• 部署網絡安全設備，精確識別和抵御攻擊行為。

• 配置策略阻止未知來源的網絡連接。

主管部門發出的安全風險報告，一般只能定位到局域網的公網IP。網管技術人員要處理解決該安全事件，還需要定位到具體的終端電腦。這個定位工作非?？简灳W管的技術，沒有對應的技術儲備，加上沒有合適的工具的話，你就只能一臺電腦一臺電腦的殺毒了。

在如何檢測局域網內感染了木馬病毒的電腦？一文中，我們介紹了如何通過WSG上網行為管理網關的“入侵防御”功能來定位挖礦、中毒、以及感染了木馬的電腦。對絕大部分情況來說，開啟入侵防御功能就可以檢測到被感染的終端電腦。然后對該電腦進行查毒殺毒就可以了。有些情況下，由于特征庫版本不一致，或者檢測技術不一樣，也可能存在并沒有檢測到的情況。這時候，我們還可以通過自定義規則的方式，來擴大檢測的內容。在本文中，我將介紹如何自定義檢測規則。

挖礦軟件會占用電腦的大量運算資源和電力資源，而且會引起主管部門的關注。局域網內有電腦被安裝了挖礦軟件是一件讓人很頭疼的事情，對成百上千臺電腦一臺一臺的進行排查簡直就和大海撈針一樣，需要耗費大量的時間和人力。所以很多網管人員面對上級部門發來的整改函一籌莫展。

因為局域網出口做了NAT網絡地址轉換，上級部門只能檢測到公司的公網IP，所以只能靠公司內部的網管人員來排查具體的終端了。最笨的辦法就是一臺電腦一臺電腦的檢查，通過檢查程序列表和任務管理器來找挖礦程序。

本文中，我將介紹如何用WSG上網行為管理中的“入侵防御”功能來檢查挖礦電腦。因為WSG上網行為管理是部署在局域網內部的，所以可以檢測到本地挖礦電腦的IP地址和MAC地址，從而準確的定位到具體電腦。

企業出于工作的需要，一般會映射一些內網主機供外網訪問。比如：ERP系統、財務系統、CRM系統，甚至一些內網主機的遠程桌面等等。分公司、出差員工在外網通過互聯網就可以訪問到內網資源，給工作帶來了很大的便利。但是，不加限制和保護的端口映射訪問，給網絡安全帶來了很大的挑戰。

端口映射的內網主機安全，主要考慮如下幾點：

1. 被映射的內網主機要安裝防火墻，并且確保已經打了各項安全補丁。

2. 限制訪問端的IP地址，阻止從其他地區連入。一般可以在網關防火墻上進行配置，限制能訪問映射主機的IP地址。

3. 避免常用的端口。比如你用默認的3389端口，那么攻擊程序立刻就知道這是遠程桌面服務，從而就可以采用對應的滲透手動來攻擊。采用一些不常用的端口可以起到一定的保護作用。

4. 部署入侵防御，一旦發現外網攻擊時，可以及時阻止攻擊者的IP地址。從而保護內網主機。

近年來公安部持續推出護網行動，以戰養兵，推進關鍵信息基礎設施的安全監測、應急響應等保障能力。為積極響應護網行動，做好安全防守工作；本文中，我將結合WSG上網行為管理網關來介紹網絡邊界的安全防護工作。服務器安全、內網安全并不在本文討論的課題內。

當前網絡安全形勢嚴峻，來自外網的攻擊與日俱增。局域網一不小心就會受到病毒、蠕蟲、勒索軟件的攻擊，導致嚴重的損失。本文中，我將結合WSG網關（WFilter NGF）來介紹如何阻止外網的攻擊。請注意，本文只討論如何阻止網絡攻擊，單機的防護是另外的課題不在本文的討論范圍內。阻止外網攻擊主要包括如下部分：

入侵檢測系統IDS（“Intrusion Detection System”）可以對網絡、系統的運行狀況進行監視，發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。而入侵防御系統IPS（“Intrusion Prevention System”）在入侵檢測的基礎上添加了防御功能，一旦發現網絡攻擊，可以根據該攻擊的威脅級別立即采取抵御措施。兩者的差別在于：

1. 功能不同。入侵防御系統在入侵檢測的基礎之上還實現了防護的功能。

2. 實時性要求不同。入侵防御必須分析實時數據，而入侵檢測可以基于歷史數據做事后分析。

3. 部署方式不同。入侵檢測一般通過端口鏡像進行旁路部署，而入侵防御一般要串聯部署。

互聯網上存在著大量的惡意網站和釣魚網站，這些網站通過在網頁上掛木馬程序，利用瀏覽器和操作系統的漏洞來入侵訪問者的電腦。一旦中毒，會給局域網帶來不可預知的損失，極大的危害到局域網的網絡安全。

本文將介紹如何用WFilter NGF來屏蔽惡意網站，并且保護局域網不受惡意釣魚網站的攻擊。總體來說，有以下兩個途徑：

入侵防御系統（Intrusion Prevention System）是對防病毒軟件和防火墻的有效補充。IPS可以監視網絡中的異常信息，并且能夠即時的中斷、阻止、告警內外網的異常網絡行為。
在WFilter NGF中，我們集成了基于snort的入侵防御系統，該系統主要可以實現如下三個方面的功能：

1. 保護內網的web服務器、文件服務器、郵件服務器。

2. 檢測內網終端的木馬和惡意軟件。

3. 檢測內網終端的異常網絡行為。

在本文中，我簡單介紹下如何實現這三個方面的功能。

企業內網的服務器都存有企業的重要信息，包括CRM用戶信息、技術資料等。所以內網服務器的信息安全是企業網絡管理的重點。內網服務器不但面臨外來的攻擊，也會受到來自內部的攻擊。在本文中，我將介紹如何用WFilter NGF的入侵防御模塊來保護內網服務器。網絡結構圖如下：

WFilter NGF用網橋部署模式，接在內網和服務器網段以及互聯網之間，既可以做外網上網行為管理，又可以保護服務器網段。

DDOS全稱Distributed Denial of Service，中文叫做“分布式拒絕服務”，就是利用大量合法的分布式服務器對目標發送請求，從而導致正常合法用戶無法獲得服務。DDOS會耗盡網絡服務的資源，使服務器失去響應，為實施下一步網絡攻擊來做準備。比如用KaLi_Linux的hping3就可以很容易的實現DDOS攻擊。

1. DDOS攻擊的具體步驟

如圖，未受攻擊時，netstat -nat可以查看到只有少量的網絡鏈接。