笨驴信息(IMFirewall)博客

网络安全现在已经是互联网领域的重要问题，网络安全引发的事故也一直呈上升趋势。中小企业虽然网络环境比较简单，但是一样会受到网络安全的威胁。如果不注重网络安全，往往会导致企业的重大损失。下面我们就一起来看看中小企业面临的常见网络安全威胁：

企业出于工作的需要，一般会映射一些内网主机供外网访问。比如：ERP系统、财务系统、CRM系统，甚至一些内网主机的远程桌面等等。分公司、出差员工在外网通过互联网就可以访问到内网资源，给工作带来了很大的便利。但是，不加限制和保护的端口映射访问，给网络安全带来了很大的挑战。

端口映射的内网主机安全，主要考虑如下几点：

1. 被映射的内网主机要安装防火墙，并且确保已经打了各项安全补丁。

2. 限制访问端的IP地址，阻止从其他地区连入。一般可以在网关防火墙上进行配置，限制能访问映射主机的IP地址。

3. 避免常用的端口。比如你用默认的3389端口，那么攻击程序立刻就知道这是远程桌面服务，从而就可以采用对应的渗透手动来攻击。采用一些不常用的端口可以起到一定的保护作用。

4. 部署入侵防御，一旦发现外网攻击时，可以及时阻止攻击者的IP地址。从而保护内网主机。

近年来公安部持续推出护网行动，以战养兵，推进关键信息基础设施的安全监测、应急响应等保障能力。为积极响应护网行动，做好安全防守工作；本文中，我将结合WSG上网行为管理网关来介绍网络边界的安全防护工作。服务器安全、内网安全并不在本文讨论的课题内。

利用“扩展插件”中的“NGF配置同步插件”可以同步多台WFilter NGF（WSG硬件）的相关配置，这个功能在管理维护多台WSG设备时非常实用。在本文中，我将结合WSG上网行为管理网关来介绍“NGF配置同步插件”的使用步骤。

1. 准备工作

1. 首先要有一台WSG作为服务端，其他做为客户端。服务端可以直接把配置推送给客户端，也可以等客户端主动来进行同步。
   

2. 多台WSG之间通过Web来同步配置，所以要确保服务端和客户端之间的Web连接可达。（在服务端可以访问客户端的web，或者客户端可以访问服务端的web）

3. 创建同步用户。每台WSG都应当建一个用户名密码一样的操作员用于进行同步操作。

4. 下载“NGF配置同步插件”，并且进行配置。

在WFilter NGF的“运营管理”中，我们可以配置终端的带宽策略、用户账号、到期时间等信息。本文将结合WFilter NGF的“运营管理模块”介绍如何对接第三方的支付平台。

一、运营管理模块的配置

1. 给用户创建不同的带宽套餐

钉钉的通讯过程比较复杂，需要用到钉钉相关的网站、阿里云平台，还有一些私有的通讯协议。所以要达到“只允许钉钉并且屏蔽其他网络行为“这个管控效果，一般的路由器是做不到的，需要专业的上网行为管理产品才可以。专业的上网行为管理产品可以准确识别出钉钉的流量并且加以管控。

当前网络安全形势严峻，来自外网的攻击与日俱增。局域网一不小心就会受到病毒、蠕虫、勒索软件的攻击，导致严重的损失。本文中，我将结合WSG网关（WFilter NGF）来介绍如何阻止外网的攻击。请注意，本文只讨论如何阻止网络攻击，单机的防护是另外的课题不在本文的讨论范围内。阻止外网攻击主要包括如下部分：

钉钉的使用过程中必须连接外网，对于网络权限设置比较严格的局域网来说，如何开放钉钉一直是一个难题。由于钉钉官方已经不再公布服务器的段，所以不能基于IP范围来做管控。必须要有专业的上网行为管理产品，才可以准确识别出钉钉的流量并且加以管控。

本文，我就来介绍下在WSG上网行为管理网关中如何放行钉钉。钉钉的使用需要通过https访问钉钉相关的网站，另外还有自己的通讯协议（端口443）。所以要放行钉钉，我们需要放行DNS、钉钉这两个应用协议，并且允许钉钉的相关网站。具体的配置步骤如下：

企业内网一般都会划分多个VLAN。划分VLAN可以提高内网安全性，而且更加便于管理。比如：有线和无线处于不同的网段，不允许无线设备访问企业内网，这样可以保护内部信息安全；而且可以对不同网段配置不同的上网策略和流控策略。而且划分VLAN可以分割广播域，避免广播风暴。VLAN的划分一般有如下三种方法：

1. 通过三层交换机来划分VLAN

有些单位出于工作目的，需要允许员工访问百度网盘和百度文库，但是又要屏蔽员工通过网盘和文库上传文件。由于百度旗下网站已经全面采用https的方式，传统的基于IP地址、端口、甚至域名来做过滤，都无法实现这样的需求。要实现类似功能，必须要有专业的上网行为管理产品。

以我们的WSG上网行为管理为例，应用过滤模块中的“屏蔽疑似上传”功能，可以对每个链接的上传下载数据大小进行检查，一旦发现疑似外发文件的行为，立刻切断该连接。而且不会影响正常的浏览和下载。相关配置如下图：

我们在工作中经常需要用到QQ和微信来交流和发送截图，但是QQ和微信方便的外发文件功能，却给企业的信息安全带来挑战。很多用户咨询如何在保留截图功能的同时，又要屏蔽QQ和微信的外发文件功能。所以我们的技术人员专门做了针对性的测试。

本文中，我将介绍如何用WSG硬件网关（WFilter NGF）来屏蔽QQ和微信外发文件，同时保留截图功能。

通讯协议分析

首先，QQ和微信的发送截图和发送文件走的是同样的数据通道。无法通过IP地址、通讯端口，以及协议特征来进行区分。这里我们要用到WSG行为管理的一个特色功能：屏蔽疑似文件上传功能。如下图：

为满足出差在外人员和分支机构办公的需要，企事业单位一般采用如下的两种方式：

1. 端口映射，把对应的服务端口映射到公网，供终端访问。
   

2. VPN。客户端需要先拨入VPN，然后再访问内网服务。

这两个办法各有优缺点：端口映射的方式，配置简单但是不够安全。内网的服务系统直接暴露在公网上，容易被攻击导致严重的损失。VPN的方式，安全系数要高很多。但是VPN需要配置客户机，配置和维护比较复杂。

在本文中，我将介绍WFilter NGF（WSG网关）中新加的一个功能：Web VPN。采用Web VPN可以带来如下好处：

随着钉钉办公的普及，越来越多的企事业单位采用钉钉作为日常的办公工具。而钉钉使用是需要连接互联网的，而且钉钉具有非常快捷方便的文件上传功能。那么对局域网的网络安全就带来了一定的挑战。主要在于如下两点：

1. 如何不允许上外网的电脑使用钉钉，并且禁止其他的所有应用？
   

2. 如何防止员工通过钉钉软件外发文件导致资料泄露？

下面我将针对这两点需求来介绍具体的实现方案。

钉钉(DingTalk)是中国领先的智能移动办公平台，用于商务沟通和工作协同。越来越多企业采用钉钉来进行办公自动化，但是由此带来的信息安全问题也不能忽视。钉钉软件可以很容易的上传附件、外发和接收文件，从而威胁到网络内部的信息安全。近来很多客户提出需要屏蔽钉钉的外发文件功能，所以我们做了针对性的测试。下文是钉钉外发文件的协议详解和如何屏蔽的方案。

1. 钉钉外发文件的协议分析

通过多次的抓包分析，钉钉PC版的外发文件和手机版的外发文件采用的不同的方式。

钉钉PC版的外发文件，主要通过sh.trans.dingtalk.com和lippi-space-ssh.oss-accelerate.aliyuncs.com这两个网站进行转发。抓包分析如下图：

企业开展在家办公，需要满足员工从外网接入到企业内网的工作需要，那么在选择网络设备的时候，主要关注以下几点：

1. 提供安全可靠的VPN远程拨入服务

VPN的访问安全不能只依赖用户名和密码，至少要可以提供双重认证。比如SSL VPN的ca证书加用户名密码的方式。用户既需要有正确的ca证书，还需要正确的用户名密码才可以接入。这是内网数据安全的第一道防线。

疫情期间，很多企事业单位都选择在家办公。员工在家通过虚拟局域网连接到企业内部的ERP、OA、财务等系统，既可以满足疫情防控的需要，又不影响工作。那么企业要进行远程办公应该如何搭建网络环境呢？本文中，我将结合WSG上网行为管理网关，来描述企业如何准备在家远程办公的网络环境。

1. 先上网络拓扑图

WFilter NGF（WSG硬件网关）的“Web认证”模块中，我们新增了“重定向HTTPS”的功能。对于未经认证的HTTPS访问，一样可以重定向到认证地址。具体配置如下图：

PPTP虽然饱受安全性诟病，但是由于PPTP速度快、支持的系统多（windows、andriod默认都可以支持），仍然有很多人选择PPTP作为远程办公的拨入协议。有一点我们要注意的是，PPTP的安全性依赖用户名密码，而且通讯加密强度不够。如果对安全性要求高，建议采用SSL VPN（openvpn）等更安全的VPN通讯协议。

在本文中，我讲介绍PPTP远程办公拨入的具体步骤。

1. 开启PPTP服务端

首先要在远程网络上开启PPTP服务，以WSG上网行为管理网关为例，具体配置如下图：

入侵检测系统IDS（“Intrusion Detection System”）可以对网络、系统的运行状况进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。而入侵防御系统IPS（“Intrusion Prevention System”）在入侵检测的基础上添加了防御功能，一旦发现网络攻击，可以根据该攻击的威胁级别立即采取抵御措施。两者的差别在于：

1. 功能不同。入侵防御系统在入侵检测的基础之上还实现了防护的功能。

2. 实时性要求不同。入侵防御必须分析实时数据，而入侵检测可以基于历史数据做事后分析。

3. 部署方式不同。入侵检测一般通过端口镜像进行旁路部署，而入侵防御一般要串联部署。

之前我们介绍过如何用钉钉认证和企业微信认证来实现企业内部的实名上网认证。此外邮箱认证也是企业进行wifi实名认证的一个有效手段。因为很多企业都给员工开通了企业邮箱，直接让员工输入邮箱账号和密码进行认证上网。配置、使用和维护都相对比较简单。

本文我将介绍企业邮箱进行wifi实名认证的具体步骤。本例中用的是163的企业邮箱。

在WFilter的“应用过滤”中，有个智能过滤的选项，可以选择”屏蔽超过N字节的疑似上传行为“。如下图：

通过网络上传和外发文件有很多种方式，比如：

1. 各种文件传输方式，比如QQ文件、微信文件、FTP上传等等。
   

2. 各类传文件的网站，网盘和文件共享站点。直接在浏览器里面就可以上传。

3. 通过邮件发送附件的方式。
   

互联网上存在着大量的恶意网站和钓鱼网站，这些网站通过在网页上挂木马程序，利用浏览器和操作系统的漏洞来入侵访问者的电脑。一旦中毒，会给局域网带来不可预知的损失，极大的危害到局域网的网络安全。

本文将介绍如何用WFilter NGF来屏蔽恶意网站，并且保护局域网不受恶意钓鱼网站的攻击。总体来说，有以下两个途径：

入侵防御系统（Intrusion Prevention System）是对防病毒软件和防火墙的有效补充。IPS可以监视网络中的异常信息，并且能够即时的中断、阻止、告警内外网的异常网络行为。
在WFilter NGF中，我们集成了基于snort的入侵防御系统，该系统主要可以实现如下三个方面的功能：

1. 保护内网的web服务器、文件服务器、邮件服务器。

2. 检测内网终端的木马和恶意软件。

3. 检测内网终端的异常网络行为。

在本文中，我简单介绍下如何实现这三个方面的功能。

企业内网的服务器都存有企业的重要信息，包括CRM用户信息、技术资料等。所以内网服务器的信息安全是企业网络管理的重点。内网服务器不但面临外来的攻击，也会受到来自内部的攻击。在本文中，我将介绍如何用WFilter NGF的入侵防御模块来保护内网服务器。网络结构图如下：

WFilter NGF用网桥部署模式，接在内网和服务器网段以及互联网之间，既可以做外网上网行为管理，又可以保护服务器网段。