笨驴信息(IMFirewall)博客

一些企事业单位出于工作和安全的需要，希望可以允许局域网内的电脑终端访问互联网，但是不允许发送数据到外网。这个需求从理论上来说其实是矛盾的，以Web访问为例，当我们去访问一个网页的时候，用的是HTTP的GET指令，大概的格式是这样的：

GET /path/to/resource HTTP/1.1 

Host: www.example.com

User-Agent: MyCustomUserAgent/1.0 

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 

Connection: keep-alive

浏览器告诉网站服务器这些信息：需要访问的URL地址、域名、浏览器种类、压缩类型、连接类型等。这个头部的大小在RFC的定义中是2K字节，这是明文的HTTP方式。如果是HTTPS方式，还需要证书交换，上传的数据大约8K字节。换句话说，即使只是浏览网站，每一次访问也需要8K的上传数据。所以说，只允许访问但是不允许任何外发数据，这个需求是自相矛盾的，不能得到真正的实现。

虽然严格的完全只访问不上传是做不到的，但是我们可以通过限定上传数据的大小来实现这个功能需求。如下图：

一些企事业单位为了信息安全的目的，需要在允许终端访问外网的同时屏蔽一切外发行为，即只能浏览和下载但是不允许外发和上传。这个功能是比较专业的功能，需要专业的上网行为管理产品才可以实现。以WSG上网行为管理为例，WSG上网行为管理中有个“智能过滤”功能，该功能会检测所有网络连接并且进行统计，一旦发现上传的数据量超过设置的阈值，就会禁止这个连接从而屏蔽上传行为。如下图所示：

有些单位出于工作目的，需要允许员工访问百度网盘和百度文库，但是又要屏蔽员工通过网盘和文库上传文件。由于百度旗下网站已经全面采用https的方式，传统的基于IP地址、端口、甚至域名来做过滤，都无法实现这样的需求。要实现类似功能，必须要有专业的上网行为管理产品。

以我们的WSG上网行为管理为例，应用过滤模块中的“屏蔽疑似上传”功能，可以对每个链接的上传下载数据大小进行检查，一旦发现疑似外发文件的行为，立刻切断该连接。而且不会影响正常的浏览和下载。相关配置如下图：

我们在工作中经常需要用到QQ和微信来交流和发送截图，但是QQ和微信方便的外发文件功能，却给企业的信息安全带来挑战。很多用户咨询如何在保留截图功能的同时，又要屏蔽QQ和微信的外发文件功能。所以我们的技术人员专门做了针对性的测试。

本文中，我将介绍如何用WSG硬件网关（WFilter NGF）来屏蔽QQ和微信外发文件，同时保留截图功能。

通讯协议分析

首先，QQ和微信的发送截图和发送文件走的是同样的数据通道。无法通过IP地址、通讯端口，以及协议特征来进行区分。这里我们要用到WSG行为管理的一个特色功能：屏蔽疑似文件上传功能。如下图：

随着钉钉办公的普及，越来越多的企事业单位采用钉钉作为日常的办公工具。而钉钉使用是需要连接互联网的，而且钉钉具有非常快捷方便的文件上传功能。那么对局域网的网络安全就带来了一定的挑战。主要在于如下两点：

1. 如何不允许上外网的电脑使用钉钉，并且禁止其他的所有应用？
   

2. 如何防止员工通过钉钉软件外发文件导致资料泄露？

下面我将针对这两点需求来介绍具体的实现方案。

钉钉(DingTalk)是中国领先的智能移动办公平台，用于商务沟通和工作协同。越来越多企业采用钉钉来进行办公自动化，但是由此带来的信息安全问题也不能忽视。钉钉软件可以很容易的上传附件、外发和接收文件，从而威胁到网络内部的信息安全。近来很多客户提出需要屏蔽钉钉的外发文件功能，所以我们做了针对性的测试。下文是钉钉外发文件的协议详解和如何屏蔽的方案。

1. 钉钉外发文件的协议分析

通过多次的抓包分析，钉钉PC版的外发文件和手机版的外发文件采用的不同的方式。

钉钉PC版的外发文件，主要通过sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com这两个网站进行转发。抓包分析如下图：

在WFilter的“应用过滤”中，有个智能过滤的选项，可以选择”屏蔽超过N字节的疑似上传行为“。如下图：

通过网络上传和外发文件有很多种方式，比如：

1. 各种文件传输方式，比如QQ文件、微信文件、FTP上传等等。
   

2. 各类传文件的网站，网盘和文件共享站点。直接在浏览器里面就可以上传。

3. 通过邮件发送附件的方式。
   

局域网的文件泄露，主要是通过usb拷贝以及网络传输的方式。我们在企业外发文件管控方案总结一文中，已经介绍了多种管控外发文件的方案。在本文中，我将介绍利用WSG上网行为管理网关如何来有效的管控外发文件。

1. 首先要屏蔽电脑的usb存储设备。

需要在windows电脑的组策略里面禁止配置，把“禁止安装可移动设备“修改成”已启用“即可。当然，管理员权限就不能给使用者啦，要不然再把这个策略改回去就不起作用了。

出于信息安全的考虑，很多企业不允许工作电脑外发文件，但是QQ和微信又是常见的办公工具。所以“既允许QQ和微信聊天，同时又不允许外发文件”，一直是企业管理的一个难题。其实上网行为管理技术经过十几年的发展，已经可以精确的识别出文件传输和普通聊天的协议特征。专业的上网行为管理产品，都可以单独屏蔽QQ和微信传文件。以WSG上网行为管理网关为例，在“行为管理”的“应用过滤”中，搜索QQ，可以看到20多个QQ相关的应用协议，包括QQ聊天、QQ发文件、QQ接收文件、QQ游戏等各种相关应用。如下图：

很多企业为了数据的安全，需要对外发文件进行管控。而手机、usb存储的广泛使用，使得外发文件的管控非常难以实现。在本文中，我将抛砖引玉，探讨外发文件管控的几种方式。外发文件的管控，需要考虑如下几个方面：

• 屏蔽通过网络外发文件

• 屏蔽蓝牙、usb等外设外发文件
  

• 文件加密
  

有些用户为了信息安全的需要，要求禁止所有的外发文件。不过，外发文件的途径有很多，如：

1. 上传到网盘。

2. 通过QQ、FTP等软件发文件。

3. 作为邮件附件发送。

在本文中，我将演示如何用WFilter ICF上网行为管理软件来禁止网盘等文件传输方式。