上级部门通知局域网内存在僵尸木马要求网络进行整改,作为网管人员需要怎样去处置解决这个问题呢?首先,上级部门只能检测到局域网总出口的IP地址,并不能识别终端的IP地址。当网内的终端数量比较多时,每台电脑做病毒查杀的工作量太大了,网管人员会很头疼这个问题。
比较合理的方案是在局域网内部署一台入侵检测系统,通过对网络数据包进行分析检测,从而发现问题主机。在本文中,我将以“WSG上网行为管理”为例,来介绍如何进行内网的木马检测。
WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护模块,这两个模块的检测原理都是入侵检测snort。如下图:
WSG上网行为管理的“IP-MAC绑定”功能非常强大,可以实现IP-MAC绑定、ARP绑定、分配静态IP等功能。但是配置IP-MAC绑定需要预先收集mac地址并且分配IP,还是有一定的工作量的。在本文中,我将介绍基于用户认证的IP-MAC绑定功能,其实现原理是:“用户一旦认证成功就会自动配置IP-MAC绑定”,这样不但实现了用户认证,而且固定了IP和mac地址;可以说是IP-MAC绑定的一个有效功能补充。具体的步骤如下:
当你有多台WSG时,你可能会想把上网日志和统计数据集中保存和管理。集中保存可以保存更长日期的历史数据,也更加便于管理。本文中,我将介绍如何搭建WSG数据中心管理系统来实现数据的集中存储管理。
WSG数据中心安装在一台windows电脑上,该系统的搭建需要安装以下产品:
SQL Server数据库,所有的日志数据都会被导入到SQL Server数据库中。
FTP服务器,用于提供FTP上传服务。
WFilterDC(WFilter数据中心管理系统),该系统可以导入数据并且提供查询和统计等功能。
