近年来公安部持续推出护网行动,以战养兵,推进关键信息基础设施的安全监测、应急响应等保障能力。为积极响应护网行动,做好安全防守工作;本文中,我将结合WSG上网行为管理网关来介绍网络边界的安全防护工作。服务器安全、内网安全并不在本文讨论的课题内。
WSG对网络的安全防护,主要包括以下方面:
网关自身的防护。
端口映射的防护。
入侵防御和检测。
1. 网关自身的防护
首先要检查防火墙的区域默认策略,外网的“入方向”(外网连接网关)、“转发方向”(外网访问内网)都要设置为“阻止”。如图:
逐条检查防火墙策略,尤其是“外网”的“入方向”和“转发方向”的策略。对于允许的策略,尽量要设置源IP范围(不限制源IP的话,攻击者就可以据此进行攻击)
WSG的远程访问功能一定要检查下。尽量不要允许外网访问,如果允许外网访问则应当限制外网访问的IP地址。
经过上述步骤后,我们已经堵住了外网攻击WSG网关的各种途径。
2. 端口映射的防护
出于工作需要,很多企业会映射一些内网服务供外网访问。这些端口映射是内网安全的最大漏洞,攻击者可以以此为跳板渗透到整个内网。对于端口映射,我们有如下建议:
尽量不要用端口映射,可以先做远程拨入后再进行访问。
如果做了端口映射,被映射的内网主机要安装防火墙,并且确保已经打了各项安全补丁。
限制访问端的IP地址,阻止从其他地区连入。
避免常用的端口。比如你用默认的3389端口,那么攻击程序立刻就知道这是远程桌面服务,从而就可以采用对应的渗透手动来攻击。采用一些不常用的端口可以起到一定的保护作用。
比如公司的外网业务访问有固定的IP区域,可以在“防火墙规则”中做如下配置:
3. 入侵防御和检测
企业由于业务需要,有些内部服务必须对外网开放。除了在“端口映射的防护”这一小节中强调的要点之外,还可以开启“入侵防御”功能,一旦有外网攻击内部主机。可以检测并进行阻止。
