一些内网终端出于各种目的,会有意的去采用翻墙代理手段来绕开管控,威胁到企事业单位的网络安全。本文中,我将介绍如何屏蔽翻墙代理上网,怎样定位翻墙代理的终端,以及更加严格的防火墙屏蔽策略。
1. 配置策略来禁止翻墙代理
主要包括两类策略,首先要用“应用过滤”来屏蔽app和客户端,其次还要用“网页过滤”来屏蔽在线代理网页。具体策略如下图:
应用过滤中添加策略,选择应用对象和时间段,然后编辑应用列表,在翻墙代理中第一行设置成“禁止”,点击旁边的箭头可以把下面的都设置成“禁止”。
网页过滤中添加策略,启用网页访问规则,并且把“远程代理”设置为“禁止访问”
2. 开启连接明细记录所有上网连接
虽然我们已经配置了管控策略,但是不可避免还是会存在漏网之鱼,为了配合相关部门排查,建议开启“连接明细”记录,这个功能可以记录所有的外发tcp连接,事后可以根据IP地址、端口等信息进行查证。
编辑“上网记录-记录设置”里面默认的记录级别,在“其他“这个属性页中,把连接明细设置为“记录“。这个选项开启后会比较消耗存储空间,所以默认是不开启的。
然后再回到记录查询页面就可以查看连接明细了。如下图:
3. 更加严格的防火墙规则
如果单位不需要访问国外网络,我们还可以通过防火墙规则来屏蔽外网IP,直接在网络层就杜绝了翻墙代理行为的存在。如果需要访问国外网络,就不要配置这个防火墙规则了。
在“配置-防火墙-防火墙规则”的内网-转发方向,配置策略,“目标”选择“自定义”,可以在里面设置要禁止的国家和地区,如下图,把常见的翻墙跳板地区都禁止掉(香港、台湾、日本、新加坡、美国、泰国等)
综上所述,经过上述配置后,我们既设置了管控策略,有开启了连接明细追踪,从而全方位实现了对翻墙代理的上网行为管控。
