當(dāng)前網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，來(lái)自外網(wǎng)的攻擊與日俱增。局域網(wǎng)一不小心就會(huì)受到病毒、蠕蟲(chóng)、勒索軟件的攻擊，導(dǎo)致嚴(yán)重的損失。本文中，我將結(jié)合WSG網(wǎng)關(guān)（WFilter NGF）來(lái)介紹如何阻止外網(wǎng)的攻擊。請(qǐng)注意，本文只討論如何阻止網(wǎng)絡(luò)攻擊，單機(jī)的防護(hù)是另外的課題不在本文的討論范圍內(nèi)。阻止外網(wǎng)攻擊主要包括如下部分：

釘釘?shù)氖褂眠^(guò)程中必須連接外網(wǎng)，對(duì)于網(wǎng)絡(luò)權(quán)限設(shè)置比較嚴(yán)格的局域網(wǎng)來(lái)說(shuō)，如何開(kāi)放釘釘一直是一個(gè)難題。由于釘釘官方已經(jīng)不再公布服務(wù)器的段，所以不能基于IP范圍來(lái)做管控。必須要有專業(yè)的上網(wǎng)行為管理產(chǎn)品，才可以準(zhǔn)確識(shí)別出釘釘?shù)牧髁坎⑶壹右怨芸亍?/span>

本文，我就來(lái)介紹下在WSG上網(wǎng)行為管理網(wǎng)關(guān)中如何放行釘釘。釘釘?shù)氖褂眯枰ㄟ^(guò)https訪問(wèn)釘釘相關(guān)的網(wǎng)站，另外還有自己的通訊協(xié)議（端口443）。所以要放行釘釘，我們需要放行DNS、釘釘這兩個(gè)應(yīng)用協(xié)議，并且允許釘釘?shù)南嚓P(guān)網(wǎng)站。具體的配置步驟如下：

企業(yè)內(nèi)網(wǎng)一般都會(huì)劃分多個(gè)VLAN。劃分VLAN可以提高內(nèi)網(wǎng)安全性，而且更加便于管理。比如：有線和無(wú)線處于不同的網(wǎng)段，不允許無(wú)線設(shè)備訪問(wèn)企業(yè)內(nèi)網(wǎng)，這樣可以保護(hù)內(nèi)部信息安全；而且可以對(duì)不同網(wǎng)段配置不同的上網(wǎng)策略和流控策略。而且劃分VLAN可以分割廣播域，避免廣播風(fēng)暴。VLAN的劃分一般有如下三種方法：

1. 通過(guò)三層交換機(jī)來(lái)劃分VLAN

有些單位出于工作目的，需要允許員工訪問(wèn)百度網(wǎng)盤(pán)和百度文庫(kù)，但是又要屏蔽員工通過(guò)網(wǎng)盤(pán)和文庫(kù)上傳文件。由于百度旗下網(wǎng)站已經(jīng)全面采用https的方式，傳統(tǒng)的基于IP地址、端口、甚至域名來(lái)做過(guò)濾，都無(wú)法實(shí)現(xiàn)這樣的需求。要實(shí)現(xiàn)類似功能，必須要有專業(yè)的上網(wǎng)行為管理產(chǎn)品。

以我們的WSG上網(wǎng)行為管理為例，應(yīng)用過(guò)濾模塊中的“屏蔽疑似上傳”功能，可以對(duì)每個(gè)鏈接的上傳下載數(shù)據(jù)大小進(jìn)行檢查，一旦發(fā)現(xiàn)疑似外發(fā)文件的行為，立刻切斷該連接。而且不會(huì)影響正常的瀏覽和下載。相關(guān)配置如下圖：

我們?cè)诠ぷ髦薪?jīng)常需要用到QQ和微信來(lái)交流和發(fā)送截圖，但是QQ和微信方便的外發(fā)文件功能，卻給企業(yè)的信息安全帶來(lái)挑戰(zhàn)。很多用戶咨詢?nèi)绾卧诒Ａ艚貓D功能的同時(shí)，又要屏蔽QQ和微信的外發(fā)文件功能。所以我們的技術(shù)人員專門(mén)做了針對(duì)性的測(cè)試。

本文中，我將介紹如何用WSG硬件網(wǎng)關(guān)（WFilter NGF）來(lái)屏蔽QQ和微信外發(fā)文件，同時(shí)保留截圖功能。

通訊協(xié)議分析

首先，QQ和微信的發(fā)送截圖和發(fā)送文件走的是同樣的數(shù)據(jù)通道。無(wú)法通過(guò)IP地址、通訊端口，以及協(xié)議特征來(lái)進(jìn)行區(qū)分。這里我們要用到WSG行為管理的一個(gè)特色功能：屏蔽疑似文件上傳功能。如下圖：

為滿足出差在外人員和分支機(jī)構(gòu)辦公的需要，企事業(yè)單位一般采用如下的兩種方式：

1. 端口映射，把對(duì)應(yīng)的服務(wù)端口映射到公網(wǎng)，供終端訪問(wèn)。
   

2. VPN?？蛻舳诵枰葥苋隫PN，然后再訪問(wèn)內(nèi)網(wǎng)服務(wù)。

這兩個(gè)辦法各有優(yōu)缺點(diǎn)：端口映射的方式，配置簡(jiǎn)單但是不夠安全。內(nèi)網(wǎng)的服務(wù)系統(tǒng)直接暴露在公網(wǎng)上，容易被攻擊導(dǎo)致嚴(yán)重的損失。VPN的方式，安全系數(shù)要高很多。但是VPN需要配置客戶機(jī)，配置和維護(hù)比較復(fù)雜。

在本文中，我將介紹WFilter NGF（WSG網(wǎng)關(guān)）中新加的一個(gè)功能：Web VPN。采用Web VPN可以帶來(lái)如下好處：

隨著釘釘辦公的普及，越來(lái)越多的企事業(yè)單位采用釘釘作為日常的辦公工具。而釘釘使用是需要連接互聯(lián)網(wǎng)的，而且釘釘具有非?？旖莘奖愕奈募蟼鞴δ堋Ｄ敲磳?duì)局域網(wǎng)的網(wǎng)絡(luò)安全就帶來(lái)了一定的挑戰(zhàn)。主要在于如下兩點(diǎn)：

1. 如何不允許上外網(wǎng)的電腦使用釘釘，并且禁止其他的所有應(yīng)用？
   

2. 如何防止員工通過(guò)釘釘軟件外發(fā)文件導(dǎo)致資料泄露？

下面我將針對(duì)這兩點(diǎn)需求來(lái)介紹具體的實(shí)現(xiàn)方案。

釘釘(DingTalk)是中國(guó)領(lǐng)先的智能移動(dòng)辦公平臺(tái)，用于商務(wù)溝通和工作協(xié)同。越來(lái)越多企業(yè)采用釘釘來(lái)進(jìn)行辦公自動(dòng)化，但是由此帶來(lái)的信息安全問(wèn)題也不能忽視。釘釘軟件可以很容易的上傳附件、外發(fā)和接收文件，從而威脅到網(wǎng)絡(luò)內(nèi)部的信息安全。近來(lái)很多客戶提出需要屏蔽釘釘?shù)耐獍l(fā)文件功能，所以我們做了針對(duì)性的測(cè)試。下文是釘釘外發(fā)文件的協(xié)議詳解和如何屏蔽的方案。

1. 釘釘外發(fā)文件的協(xié)議分析

通過(guò)多次的抓包分析，釘釘PC版的外發(fā)文件和手機(jī)版的外發(fā)文件采用的不同的方式。

釘釘PC版的外發(fā)文件，主要通過(guò)sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com這兩個(gè)網(wǎng)站進(jìn)行轉(zhuǎn)發(fā)。抓包分析如下圖：

企業(yè)開(kāi)展在家辦公，需要滿足員工從外網(wǎng)接入到企業(yè)內(nèi)網(wǎng)的工作需要，那么在選擇網(wǎng)絡(luò)設(shè)備的時(shí)候，主要關(guān)注以下幾點(diǎn)：

1. 提供安全可靠的VPN遠(yuǎn)程撥入服務(wù)

VPN的訪問(wèn)安全不能只依賴用戶名和密碼，至少要可以提供雙重認(rèn)證。比如SSL VPN的ca證書(shū)加用戶名密碼的方式。用戶既需要有正確的ca證書(shū)，還需要正確的用戶名密碼才可以接入。這是內(nèi)網(wǎng)數(shù)據(jù)安全的第一道防線。

疫情期間，很多企事業(yè)單位都選擇在家辦公。員工在家通過(guò)虛擬局域網(wǎng)連接到企業(yè)內(nèi)部的ERP、OA、財(cái)務(wù)等系統(tǒng)，既可以滿足疫情防控的需要，又不影響工作。那么企業(yè)要進(jìn)行遠(yuǎn)程辦公應(yīng)該如何搭建網(wǎng)絡(luò)環(huán)境呢？本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)，來(lái)描述企業(yè)如何準(zhǔn)備在家遠(yuǎn)程辦公的網(wǎng)絡(luò)環(huán)境。

1. 先上網(wǎng)絡(luò)拓?fù)鋱D

WFilter NGF（WSG硬件網(wǎng)關(guān)）的“Web認(rèn)證”模塊中，我們新增了“重定向HTTPS”的功能。對(duì)于未經(jīng)認(rèn)證的HTTPS訪問(wèn)，一樣可以重定向到認(rèn)證地址。具體配置如下圖：

PPTP雖然飽受安全性詬病，但是由于PPTP速度快、支持的系統(tǒng)多（windows、andriod默認(rèn)都可以支持），仍然有很多人選擇PPTP作為遠(yuǎn)程辦公的撥入?yún)f(xié)議。有一點(diǎn)我們要注意的是，PPTP的安全性依賴用戶名密碼，而且通訊加密強(qiáng)度不夠。如果對(duì)安全性要求高，建議采用SSL VPN（openvpn）等更安全的VPN通訊協(xié)議。

在本文中，我講介紹PPTP遠(yuǎn)程辦公撥入的具體步驟。

1. 開(kāi)啟PPTP服務(wù)端

首先要在遠(yuǎn)程網(wǎng)絡(luò)上開(kāi)啟PPTP服務(wù)，以WSG上網(wǎng)行為管理網(wǎng)關(guān)為例，具體配置如下圖：

入侵檢測(cè)系統(tǒng)IDS（“Intrusion Detection System”）可以對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。而入侵防御系統(tǒng)IPS（“Intrusion Prevention System”）在入侵檢測(cè)的基礎(chǔ)上添加了防御功能，一旦發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的威脅級(jí)別立即采取抵御措施。兩者的差別在于：

1. 功能不同。入侵防御系統(tǒng)在入侵檢測(cè)的基礎(chǔ)之上還實(shí)現(xiàn)了防護(hù)的功能。

2. 實(shí)時(shí)性要求不同。入侵防御必須分析實(shí)時(shí)數(shù)據(jù)，而入侵檢測(cè)可以基于歷史數(shù)據(jù)做事后分析。

3. 部署方式不同。入侵檢測(cè)一般通過(guò)端口鏡像進(jìn)行旁路部署，而入侵防御一般要串聯(lián)部署。

之前我們介紹過(guò)如何用釘釘認(rèn)證和企業(yè)微信認(rèn)證來(lái)實(shí)現(xiàn)企業(yè)內(nèi)部的實(shí)名上網(wǎng)認(rèn)證。此外郵箱認(rèn)證也是企業(yè)進(jìn)行wifi實(shí)名認(rèn)證的一個(gè)有效手段。因?yàn)楹芏嗥髽I(yè)都給員工開(kāi)通了企業(yè)郵箱，直接讓員工輸入郵箱賬號(hào)和密碼進(jìn)行認(rèn)證上網(wǎng)。配置、使用和維護(hù)都相對(duì)比較簡(jiǎn)單。

本文我將介紹企業(yè)郵箱進(jìn)行wifi實(shí)名認(rèn)證的具體步驟。本例中用的是163的企業(yè)郵箱。

在WFilter的“應(yīng)用過(guò)濾”中，有個(gè)智能過(guò)濾的選項(xiàng)，可以選擇”屏蔽超過(guò)N字節(jié)的疑似上傳行為“。如下圖：

通過(guò)網(wǎng)絡(luò)上傳和外發(fā)文件有很多種方式，比如：

1. 各種文件傳輸方式，比如QQ文件、微信文件、FTP上傳等等。
   

2. 各類傳文件的網(wǎng)站，網(wǎng)盤(pán)和文件共享站點(diǎn)。直接在瀏覽器里面就可以上傳。

3. 通過(guò)郵件發(fā)送附件的方式。
   

互聯(lián)網(wǎng)上存在著大量的惡意網(wǎng)站和釣魚(yú)網(wǎng)站，這些網(wǎng)站通過(guò)在網(wǎng)頁(yè)上掛木馬程序，利用瀏覽器和操作系統(tǒng)的漏洞來(lái)入侵訪問(wèn)者的電腦。一旦中毒，會(huì)給局域網(wǎng)帶來(lái)不可預(yù)知的損失，極大的危害到局域網(wǎng)的網(wǎng)絡(luò)安全。

本文將介紹如何用WFilter NGF來(lái)屏蔽惡意網(wǎng)站，并且保護(hù)局域網(wǎng)不受惡意釣魚(yú)網(wǎng)站的攻擊。總體來(lái)說(shuō)，有以下兩個(gè)途徑：

入侵防御系統(tǒng)（Intrusion Prevention System）是對(duì)防病毒軟件和防火墻的有效補(bǔ)充。IPS可以監(jiān)視網(wǎng)絡(luò)中的異常信息，并且能夠即時(shí)的中斷、阻止、告警內(nèi)外網(wǎng)的異常網(wǎng)絡(luò)行為。
在WFilter NGF中，我們集成了基于snort的入侵防御系統(tǒng)，該系統(tǒng)主要可以實(shí)現(xiàn)如下三個(gè)方面的功能：

1. 保護(hù)內(nèi)網(wǎng)的web服務(wù)器、文件服務(wù)器、郵件服務(wù)器。

2. 檢測(cè)內(nèi)網(wǎng)終端的木馬和惡意軟件。

3. 檢測(cè)內(nèi)網(wǎng)終端的異常網(wǎng)絡(luò)行為。

在本文中，我簡(jiǎn)單介紹下如何實(shí)現(xiàn)這三個(gè)方面的功能。

企業(yè)內(nèi)網(wǎng)的服務(wù)器都存有企業(yè)的重要信息，包括CRM用戶信息、技術(shù)資料等。所以內(nèi)網(wǎng)服務(wù)器的信息安全是企業(yè)網(wǎng)絡(luò)管理的重點(diǎn)。內(nèi)網(wǎng)服務(wù)器不但面臨外來(lái)的攻擊，也會(huì)受到來(lái)自內(nèi)部的攻擊。在本文中，我將介紹如何用WFilter NGF的入侵防御模塊來(lái)保護(hù)內(nèi)網(wǎng)服務(wù)器。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

WFilter NGF用網(wǎng)橋部署模式，接在內(nèi)網(wǎng)和服務(wù)器網(wǎng)段以及互聯(lián)網(wǎng)之間，既可以做外網(wǎng)上網(wǎng)行為管理，又可以保護(hù)服務(wù)器網(wǎng)段。

DDOS全稱Distributed Denial of Service，中文叫做“分布式拒絕服務(wù)”，就是利用大量合法的分布式服務(wù)器對(duì)目標(biāo)發(fā)送請(qǐng)求，從而導(dǎo)致正常合法用戶無(wú)法獲得服務(wù)。DDOS會(huì)耗盡網(wǎng)絡(luò)服務(wù)的資源，使服務(wù)器失去響應(yīng)，為實(shí)施下一步網(wǎng)絡(luò)攻擊來(lái)做準(zhǔn)備。比如用KaLi_Linux的hping3就可以很容易的實(shí)現(xiàn)DDOS攻擊。

1. DDOS攻擊的具體步驟

如圖，未受攻擊時(shí)，netstat -nat可以查看到只有少量的網(wǎng)絡(luò)鏈接。

在本文中，我將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)結(jié)合中國(guó)移動(dòng)的10086云MAS平臺(tái)，來(lái)實(shí)現(xiàn)局域網(wǎng)WiFi實(shí)名認(rèn)證。

1. 首先要在10086云MAS平臺(tái)中創(chuàng)建短信接口用戶。

對(duì)于三層交換機(jī)劃分多個(gè)VLAN的局域網(wǎng)來(lái)說(shuō)，要設(shè)置IP-MAC綁定可真不容易。在三層交換機(jī)上進(jìn)行IP-MAC綁定，不但配置復(fù)雜而且維護(hù)工作量很大，所以大部分網(wǎng)管都不會(huì)直接在三層交換機(jī)上進(jìn)行綁定。在本文中，我將介紹用WSG上網(wǎng)行為管理，在網(wǎng)橋部署的模式下，如何來(lái)實(shí)現(xiàn)三層交換機(jī)下的IP和MAC綁定。

1. 先看下網(wǎng)絡(luò)拓?fù)鋱D。

Win10的自動(dòng)更新非常的頻繁，而且windows的更新很耗帶寬資源。所以，如果網(wǎng)內(nèi)的windows電腦比較多，那么一旦windows發(fā)布了新的更新包，會(huì)占用大量的網(wǎng)絡(luò)帶寬資源。

當(dāng)然，windows的更新很多都是安全方面的更新，保持系統(tǒng)更新有助于提高終端的安全，我們并不建議關(guān)閉更新。不過(guò)，有些網(wǎng)絡(luò)為了節(jié)省帶寬資源，需要屏蔽局域網(wǎng)內(nèi)電腦的自動(dòng)更新。在沒(méi)有部署上網(wǎng)行為管理的情況下，你需要在路由器或者網(wǎng)關(guān)設(shè)備上屏蔽站點(diǎn)“.*(officecdn|mp|updates)\.microsoft\.com“（正則表達(dá)式）和".*\.windowsupdate\.com”（正則表達(dá)式）。“windows更新”的通訊協(xié)議描述如下圖：

日前，深圳市網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)出緊急通告，指出目前知名遠(yuǎn)程辦公工具TeamViewer已經(jīng)被境外黑客組織APT41攻破，提醒企業(yè)組織做好防護(hù)措施。也就是說(shuō)，APT41已經(jīng)攻破TeamViewer公司的所有防護(hù)體，并取得有相關(guān)數(shù)據(jù)權(quán)限，危險(xiǎn)等級(jí)非常高。在teamviewer官方提供解決方案和發(fā)布相關(guān)補(bǔ)丁之前，我們建議用戶暫停teamviewer軟件的使用，避免造成不必要的損失。

以下是teamviewer通訊方式介紹，以及如何用WSG上網(wǎng)行為管理來(lái)禁止teamviewer。

1. teamviewer通訊方式

1. teamviewer在啟動(dòng)時(shí)，首先會(huì)連接teamviewer官網(wǎng)（http和https方式都有），來(lái)獲取ID和路由信息。如果直接連接不了，teamviewer還會(huì)獲取本機(jī)的代理配置，嘗試通過(guò)代理服務(wù)器去連接。
   

2. teamviewer后續(xù)的點(diǎn)對(duì)點(diǎn)遠(yuǎn)程控制，大部分通過(guò)的端口是tcp 5938。也存在其他動(dòng)態(tài)端口的通訊數(shù)據(jù)。

有些公司為了安全需要，只允許使用微信等指定軟件，同時(shí)屏蔽所有的其他網(wǎng)站和軟件。這樣的管理需求，必須要用專業(yè)的上網(wǎng)行為管理產(chǎn)品才可以實(shí)現(xiàn)。以我司的WSG上網(wǎng)行為管理為例，只需要兩條行為管理規(guī)則，即可實(shí)現(xiàn)該功能。配置的思路是“應(yīng)用過(guò)濾屏蔽所有+例外設(shè)置開(kāi)通部分應(yīng)用”這兩者結(jié)合的方式。下面是具體配置的步驟介紹：

1. 先在應(yīng)用過(guò)濾里面屏蔽所有

如圖，應(yīng)用過(guò)濾添加規(guī)則，禁止所有應(yīng)用的訪問(wèn)。