近年來公安部持續推出護網行動,以戰養兵,推進關鍵信息基礎設施的安全監測、應急響應等保障能力。為積極響應護網行動,做好安全防守工作;本文中,我將結合WSG上網行為管理網關來介紹網絡邊界的安全防護工作。服務器安全、內網安全并不在本文討論的課題內。
WSG對網絡的安全防護,主要包括以下方面:
網關自身的防護。
端口映射的防護。
入侵防御和檢測。
1. 網關自身的防護
首先要檢查防火墻的區域默認策略,外網的“入方向”(外網連接網關)、“轉發方向”(外網訪問內網)都要設置為“阻止”。如圖:
逐條檢查防火墻策略,尤其是“外網”的“入方向”和“轉發方向”的策略。對于允許的策略,盡量要設置源IP范圍(不限制源IP的話,攻擊者就可以據此進行攻擊)
WSG的遠程訪問功能一定要檢查下。盡量不要允許外網訪問,如果允許外網訪問則應當限制外網訪問的IP地址。
經過上述步驟后,我們已經堵住了外網攻擊WSG網關的各種途徑。
2. 端口映射的防護
出于工作需要,很多企業會映射一些內網服務供外網訪問。這些端口映射是內網安全的最大漏洞,攻擊者可以以此為跳板滲透到整個內網。對于端口映射,我們有如下建議:
盡量不要用端口映射,可以先做遠程撥入后再進行訪問。
如果做了端口映射,被映射的內網主機要安裝防火墻,并且確保已經打了各項安全補丁。
限制訪問端的IP地址,阻止從其他地區連入。
避免常用的端口。比如你用默認的3389端口,那么攻擊程序立刻就知道這是遠程桌面服務,從而就可以采用對應的滲透手動來攻擊。采用一些不常用的端口可以起到一定的保護作用。
比如公司的外網業務訪問有固定的IP區域,可以在“防火墻規則”中做如下配置:
3. 入侵防御和檢測
企業由于業務需要,有些內部服務必須對外網開放。除了在“端口映射的防護”這一小節中強調的要點之外,還可以開啟“入侵防御”功能,一旦有外網攻擊內部主機。可以檢測并進行阻止。
