笨驢信息(IMFirewall)博客

網絡安全現在已經是互聯網領域的重要問題，網絡安全引發的事故也一直呈上升趨勢。中小企業雖然網絡環境比較簡單，但是一樣會受到網絡安全的威脅。如果不注重網絡安全，往往會導致企業的重大損失。下面我們就一起來看看中小企業面臨的常見網絡安全威脅：

企業出于工作的需要，一般會映射一些內網主機供外網訪問。比如：ERP系統、財務系統、CRM系統，甚至一些內網主機的遠程桌面等等。分公司、出差員工在外網通過互聯網就可以訪問到內網資源，給工作帶來了很大的便利。但是，不加限制和保護的端口映射訪問，給網絡安全帶來了很大的挑戰。

端口映射的內網主機安全，主要考慮如下幾點：

1. 被映射的內網主機要安裝防火墻，并且確保已經打了各項安全補丁。

2. 限制訪問端的IP地址，阻止從其他地區連入。一般可以在網關防火墻上進行配置，限制能訪問映射主機的IP地址。

3. 避免常用的端口。比如你用默認的3389端口，那么攻擊程序立刻就知道這是遠程桌面服務，從而就可以采用對應的滲透手動來攻擊。采用一些不常用的端口可以起到一定的保護作用。

4. 部署入侵防御，一旦發現外網攻擊時，可以及時阻止攻擊者的IP地址。從而保護內網主機。

近年來公安部持續推出護網行動，以戰養兵，推進關鍵信息基礎設施的安全監測、應急響應等保障能力。為積極響應護網行動，做好安全防守工作；本文中，我將結合WSG上網行為管理網關來介紹網絡邊界的安全防護工作。服務器安全、內網安全并不在本文討論的課題內。

利用“擴展插件”中的“NGF配置同步插件”可以同步多臺WFilter NGF（WSG硬件）的相關配置，這個功能在管理維護多臺WSG設備時非常實用。在本文中，我將結合WSG上網行為管理網關來介紹“NGF配置同步插件”的使用步驟。

1. 準備工作

1. 首先要有一臺WSG作為服務端，其他做為客戶端。服務端可以直接把配置推送給客戶端，也可以等客戶端主動來進行同步。
   

2. 多臺WSG之間通過Web來同步配置，所以要確保服務端和客戶端之間的Web連接可達。（在服務端可以訪問客戶端的web，或者客戶端可以訪問服務端的web）

3. 創建同步用戶。每臺WSG都應當建一個用戶名密碼一樣的操作員用于進行同步操作。

4. 下載“NGF配置同步插件”，并且進行配置。

在WFilter NGF的“運營管理”中，我們可以配置終端的帶寬策略、用戶賬號、到期時間等信息。本文將結合WFilter NGF的“運營管理模塊”介紹如何對接第三方的支付平臺。

一、運營管理模塊的配置

1. 給用戶創建不同的帶寬套餐

釘釘的通訊過程比較復雜，需要用到釘釘相關的網站、阿里云平臺，還有一些私有的通訊協議。所以要達到“只允許釘釘并且屏蔽其他網絡行為“這個管控效果，一般的路由器是做不到的，需要專業的上網行為管理產品才可以。專業的上網行為管理產品可以準確識別出釘釘的流量并且加以管控。

當前網絡安全形勢嚴峻，來自外網的攻擊與日俱增。局域網一不小心就會受到病毒、蠕蟲、勒索軟件的攻擊，導致嚴重的損失。本文中，我將結合WSG網關（WFilter NGF）來介紹如何阻止外網的攻擊。請注意，本文只討論如何阻止網絡攻擊，單機的防護是另外的課題不在本文的討論范圍內。阻止外網攻擊主要包括如下部分：

釘釘的使用過程中必須連接外網，對于網絡權限設置比較嚴格的局域網來說，如何開放釘釘一直是一個難題。由于釘釘官方已經不再公布服務器的段，所以不能基于IP范圍來做管控。必須要有專業的上網行為管理產品，才可以準確識別出釘釘的流量并且加以管控。

本文，我就來介紹下在WSG上網行為管理網關中如何放行釘釘。釘釘的使用需要通過https訪問釘釘相關的網站，另外還有自己的通訊協議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘這兩個應用協議，并且允許釘釘的相關網站。具體的配置步驟如下：

企業內網一般都會劃分多個VLAN。劃分VLAN可以提高內網安全性，而且更加便于管理。比如：有線和無線處于不同的網段，不允許無線設備訪問企業內網，這樣可以保護內部信息安全；而且可以對不同網段配置不同的上網策略和流控策略。而且劃分VLAN可以分割廣播域，避免廣播風暴。VLAN的劃分一般有如下三種方法：

1. 通過三層交換機來劃分VLAN

有些單位出于工作目的，需要允許員工訪問百度網盤和百度文庫，但是又要屏蔽員工通過網盤和文庫上傳文件。由于百度旗下網站已經全面采用https的方式，傳統的基于IP地址、端口、甚至域名來做過濾，都無法實現這樣的需求。要實現類似功能，必須要有專業的上網行為管理產品。

以我們的WSG上網行為管理為例，應用過濾模塊中的“屏蔽疑似上傳”功能，可以對每個鏈接的上傳下載數據大小進行檢查，一旦發現疑似外發文件的行為，立刻切斷該連接。而且不會影響正常的瀏覽和下載。相關配置如下圖：

我們在工作中經常需要用到QQ和微信來交流和發送截圖，但是QQ和微信方便的外發文件功能，卻給企業的信息安全帶來挑戰。很多用戶咨詢如何在保留截圖功能的同時，又要屏蔽QQ和微信的外發文件功能。所以我們的技術人員專門做了針對性的測試。

本文中，我將介紹如何用WSG硬件網關（WFilter NGF）來屏蔽QQ和微信外發文件，同時保留截圖功能。

通訊協議分析

首先，QQ和微信的發送截圖和發送文件走的是同樣的數據通道。無法通過IP地址、通訊端口，以及協議特征來進行區分。這里我們要用到WSG行為管理的一個特色功能：屏蔽疑似文件上傳功能。如下圖：

為滿足出差在外人員和分支機構辦公的需要，企事業單位一般采用如下的兩種方式：

1. 端口映射，把對應的服務端口映射到公網，供終端訪問。
   

2. VPN。客戶端需要先撥入VPN，然后再訪問內網服務。

這兩個辦法各有優缺點：端口映射的方式，配置簡單但是不夠安全。內網的服務系統直接暴露在公網上，容易被攻擊導致嚴重的損失。VPN的方式，安全系數要高很多。但是VPN需要配置客戶機，配置和維護比較復雜。

在本文中，我將介紹WFilter NGF（WSG網關）中新加的一個功能：Web VPN。采用Web VPN可以帶來如下好處：

隨著釘釘辦公的普及，越來越多的企事業單位采用釘釘作為日常的辦公工具。而釘釘使用是需要連接互聯網的，而且釘釘具有非常快捷方便的文件上傳功能。那么對局域網的網絡安全就帶來了一定的挑戰。主要在于如下兩點：

1. 如何不允許上外網的電腦使用釘釘，并且禁止其他的所有應用？
   

2. 如何防止員工通過釘釘軟件外發文件導致資料泄露？

下面我將針對這兩點需求來介紹具體的實現方案。

釘釘(DingTalk)是中國領先的智能移動辦公平臺，用于商務溝通和工作協同。越來越多企業采用釘釘來進行辦公自動化，但是由此帶來的信息安全問題也不能忽視。釘釘軟件可以很容易的上傳附件、外發和接收文件，從而威脅到網絡內部的信息安全。近來很多客戶提出需要屏蔽釘釘的外發文件功能，所以我們做了針對性的測試。下文是釘釘外發文件的協議詳解和如何屏蔽的方案。

1. 釘釘外發文件的協議分析

通過多次的抓包分析，釘釘PC版的外發文件和手機版的外發文件采用的不同的方式。

釘釘PC版的外發文件，主要通過sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com這兩個網站進行轉發。抓包分析如下圖：

企業開展在家辦公，需要滿足員工從外網接入到企業內網的工作需要，那么在選擇網絡設備的時候，主要關注以下幾點：

1. 提供安全可靠的VPN遠程撥入服務

VPN的訪問安全不能只依賴用戶名和密碼，至少要可以提供雙重認證。比如SSL VPN的ca證書加用戶名密碼的方式。用戶既需要有正確的ca證書，還需要正確的用戶名密碼才可以接入。這是內網數據安全的第一道防線。

疫情期間，很多企事業單位都選擇在家辦公。員工在家通過虛擬局域網連接到企業內部的ERP、OA、財務等系統，既可以滿足疫情防控的需要，又不影響工作。那么企業要進行遠程辦公應該如何搭建網絡環境呢？本文中，我將結合WSG上網行為管理網關，來描述企業如何準備在家遠程辦公的網絡環境。

1. 先上網絡拓撲圖

WFilter NGF（WSG硬件網關）的“Web認證”模塊中，我們新增了“重定向HTTPS”的功能。對于未經認證的HTTPS訪問，一樣可以重定向到認證地址。具體配置如下圖：

PPTP雖然飽受安全性詬病，但是由于PPTP速度快、支持的系統多（windows、andriod默認都可以支持），仍然有很多人選擇PPTP作為遠程辦公的撥入協議。有一點我們要注意的是，PPTP的安全性依賴用戶名密碼，而且通訊加密強度不夠。如果對安全性要求高，建議采用SSL VPN（openvpn）等更安全的VPN通訊協議。

在本文中，我講介紹PPTP遠程辦公撥入的具體步驟。

1. 開啟PPTP服務端

首先要在遠程網絡上開啟PPTP服務，以WSG上網行為管理網關為例，具體配置如下圖：

入侵檢測系統IDS（“Intrusion Detection System”）可以對網絡、系統的運行狀況進行監視，發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。而入侵防御系統IPS（“Intrusion Prevention System”）在入侵檢測的基礎上添加了防御功能，一旦發現網絡攻擊，可以根據該攻擊的威脅級別立即采取抵御措施。兩者的差別在于：

1. 功能不同。入侵防御系統在入侵檢測的基礎之上還實現了防護的功能。

2. 實時性要求不同。入侵防御必須分析實時數據，而入侵檢測可以基于歷史數據做事后分析。

3. 部署方式不同。入侵檢測一般通過端口鏡像進行旁路部署，而入侵防御一般要串聯部署。

之前我們介紹過如何用釘釘認證和企業微信認證來實現企業內部的實名上網認證。此外郵箱認證也是企業進行wifi實名認證的一個有效手段。因為很多企業都給員工開通了企業郵箱，直接讓員工輸入郵箱賬號和密碼進行認證上網。配置、使用和維護都相對比較簡單。

本文我將介紹企業郵箱進行wifi實名認證的具體步驟。本例中用的是163的企業郵箱。

在WFilter的“應用過濾”中，有個智能過濾的選項，可以選擇”屏蔽超過N字節的疑似上傳行為“。如下圖：

通過網絡上傳和外發文件有很多種方式，比如：

1. 各種文件傳輸方式，比如QQ文件、微信文件、FTP上傳等等。
   

2. 各類傳文件的網站，網盤和文件共享站點。直接在瀏覽器里面就可以上傳。

3. 通過郵件發送附件的方式。
   

互聯網上存在著大量的惡意網站和釣魚網站，這些網站通過在網頁上掛木馬程序，利用瀏覽器和操作系統的漏洞來入侵訪問者的電腦。一旦中毒，會給局域網帶來不可預知的損失，極大的危害到局域網的網絡安全。

本文將介紹如何用WFilter NGF來屏蔽惡意網站，并且保護局域網不受惡意釣魚網站的攻擊。總體來說，有以下兩個途徑：

入侵防御系統（Intrusion Prevention System）是對防病毒軟件和防火墻的有效補充。IPS可以監視網絡中的異常信息，并且能夠即時的中斷、阻止、告警內外網的異常網絡行為。
在WFilter NGF中，我們集成了基于snort的入侵防御系統，該系統主要可以實現如下三個方面的功能：

1. 保護內網的web服務器、文件服務器、郵件服務器。

2. 檢測內網終端的木馬和惡意軟件。

3. 檢測內網終端的異常網絡行為。

在本文中，我簡單介紹下如何實現這三個方面的功能。

企業內網的服務器都存有企業的重要信息，包括CRM用戶信息、技術資料等。所以內網服務器的信息安全是企業網絡管理的重點。內網服務器不但面臨外來的攻擊，也會受到來自內部的攻擊。在本文中，我將介紹如何用WFilter NGF的入侵防御模塊來保護內網服務器。網絡結構圖如下：

WFilter NGF用網橋部署模式，接在內網和服務器網段以及互聯網之間，既可以做外網上網行為管理，又可以保護服務器網段。