WSG的(de)入侵防御和木馬(ma)檢測模塊基(ji)于(yu)snort特(te)(te)征(zheng)(zheng)庫，可以(yi)檢測和阻止各類網絡攻擊，這兩個模塊會(hui)對網絡中的(de)數(shu)據通(tong)信進行檢測還原(yuan)，匹配(pei)其(qi)中的(de)木馬(ma)特(te)(te)征(zheng)(zheng)，一(yi)旦(dan)匹配(pei)到特(te)(te)征(zheng)(zheng)時就(jiu)觸(chu)發告警和阻斷。

網(wang)(wang)(wang)絡滲(shen)透(tou)攻(gong)(gong)擊(ji)(ji)會嚴重(zhong)威脅到企業(ye)的(de)(de)網(wang)(wang)(wang)絡安全(quan)和數據安全(quan)。攻(gong)(gong)擊(ji)(ji)者(zhe)會有針對(dui)性地對(dui)某個目標網(wang)(wang)(wang)絡進行攻(gong)(gong)擊(ji)(ji)，以獲(huo)取其內部(bu)的(de)(de)商(shang)業(ye)資(zi)料(liao)，進行網(wang)(wang)(wang)絡破(po)壞等。一旦其獲(huo)取了目標網(wang)(wang)(wang)絡中網(wang)(wang)(wang)站服務器(qi)的(de)(de)權(quan)限，還會利用(yong)此(ci)臺服務器(qi)，繼續入侵目標網(wang)(wang)(wang)絡，獲(huo)取整個網(wang)(wang)(wang)絡中所(suo)有主(zhu)機(ji)的(de)(de)權(quan)限。為了實現滲(shen)透(tou)攻(gong)(gong)擊(ji)(ji)，攻(gong)(gong)擊(ji)(ji)者(zhe)采用(yong)的(de)(de)攻(gong)(gong)擊(ji)(ji)方(fang)式絕不(bu)僅此(ci)于(yu)一種簡單的(de)(de)Web腳本漏洞攻(gong)(gong)擊(ji)(ji)。攻(gong)(gong)擊(ji)(ji)者(zhe)會綜(zong)合運用(yong)遠程溢出、木(mu)馬攻(gong)(gong)擊(ji)(ji)、密碼破(po)解、嗅(xiu)探、ARP欺騙等多(duo)種攻(gong)(gong)擊(ji)(ji)方(fang)式，逐(zhu)步控(kong)制網(wang)(wang)(wang)絡。

防御網絡滲透(tou)攻擊，主(zhu)要從如下方面(mian)入手：

• 采用安全的網絡架構，杜絕未知接入(ru)。

• 部署網絡(luo)安(an)全設備，精確識別和抵御攻擊行(xing)為。

• 配(pei)置策略(lve)阻止(zhi)未知來源的(de)網絡(luo)連接。

主管(guan)部門發出的(de)安(an)全風險報告，一般只(zhi)能定位(wei)到(dao)局域網(wang)的(de)公(gong)網(wang)IP。網(wang)管(guan)技(ji)術人員(yuan)要處(chu)理解決該(gai)安(an)全事件，還需要定位(wei)到(dao)具體(ti)的(de)終端電腦(nao)。這(zhe)個(ge)定位(wei)工(gong)作非常(chang)考驗網(wang)管(guan)的(de)技(ji)術，沒有(you)(you)對(dui)應(ying)的(de)技(ji)術儲備，加上沒有(you)(you)合(he)適的(de)工(gong)具的(de)話，你就只(zhi)能一臺(tai)電腦(nao)一臺(tai)電腦(nao)的(de)殺毒了(le)。

在如何檢測局域網內感染了木馬病毒的電腦？一(yi)文中(zhong)，我們介紹(shao)了(le)如何通過WSG上網行為管理網關(guan)的(de)“入侵(qin)防御”功(gong)能(neng)來(lai)定位挖礦(kuang)、中(zhong)毒(du)、以(yi)及感(gan)染了(le)木馬的(de)電腦。對絕大(da)部分情(qing)況(kuang)來(lai)說，開啟(qi)入侵(qin)防御功(gong)能(neng)就(jiu)可以(yi)檢(jian)(jian)測(ce)到被感(gan)染的(de)終端電腦。然(ran)后對該電腦進行查毒(du)殺毒(du)就(jiu)可以(yi)了(le)。有(you)(you)些(xie)情(qing)況(kuang)下，由(you)于特征庫版本不一(yi)致，或者(zhe)檢(jian)(jian)測(ce)技術不一(yi)樣，也可能(neng)存(cun)在并沒有(you)(you)檢(jian)(jian)測(ce)到的(de)情(qing)況(kuang)。這時(shi)候，我們還可以(yi)通過自定義規則(ze)的(de)方式，來(lai)擴大(da)檢(jian)(jian)測(ce)的(de)內容(rong)。在本文中(zhong)，我將介紹(shao)如何自定義檢(jian)(jian)測(ce)規則(ze)。

挖礦軟件會占用電腦的(de)(de)大量運算資(zi)源和(he)電力資(zi)源，而且會引起主管部門的(de)(de)關(guan)注。局域網(wang)內(nei)有電腦被安裝了(le)挖礦軟件是一(yi)件讓(rang)人很頭(tou)疼的(de)(de)事情(qing)，對成百上千(qian)臺電腦一(yi)臺一(yi)臺的(de)(de)進行排(pai)查(cha)簡直(zhi)就(jiu)和(he)大海撈針一(yi)樣，需要耗(hao)費大量的(de)(de)時(shi)間和(he)人力。所以很多網(wang)管人員(yuan)面對上級部門發來(lai)的(de)(de)整改函一(yi)籌莫展(zhan)。

因為局域網出口做了NAT網絡地址(zhi)轉(zhuan)換，上級部門只能(neng)檢(jian)測到(dao)公司的(de)(de)公網IP，所(suo)以只能(neng)靠(kao)公司內部的(de)(de)網管人員來排查具體的(de)(de)終端了。最笨(ben)的(de)(de)辦法就是一臺電(dian)腦一臺電(dian)腦的(de)(de)檢(jian)查，通(tong)過檢(jian)查程序列表和(he)任務管理器來找挖礦程序。

本文(wen)中，我將介(jie)紹如(ru)何用WSG上網行為(wei)管(guan)理中的(de)“入(ru)侵防御”功能來檢查挖礦(kuang)電(dian)腦(nao)。因為(wei)WSG上網行為(wei)管(guan)理是部(bu)署在局域網內(nei)部(bu)的(de)，所(suo)以可以檢測到本地挖礦(kuang)電(dian)腦(nao)的(de)IP地址和MAC地址，從而(er)準確的(de)定(ding)位到具(ju)體電(dian)腦(nao)。

企(qi)業出于工作的需要，一(yi)般會(hui)映射一(yi)些內(nei)網(wang)主機供外網(wang)訪(fang)問。比如：ERP系(xi)(xi)統(tong)、財務系(xi)(xi)統(tong)、CRM系(xi)(xi)統(tong)，甚至一(yi)些內(nei)網(wang)主機的遠(yuan)程桌面等(deng)等(deng)。分公司、出差員(yuan)工在外網(wang)通過互聯網(wang)就可以訪(fang)問到內(nei)網(wang)資源，給工作帶來了(le)很(hen)大(da)(da)的便利(li)。但是，不加(jia)限制和保護(hu)的端口(kou)映射訪(fang)問，給網(wang)絡安全帶來了(le)很(hen)大(da)(da)的挑戰。

端口映(ying)射(she)的內(nei)網主機安全，主要考慮如下幾點(dian)：

1. 被映射的內網主機要(yao)安(an)裝防火(huo)墻(qiang)，并且確保(bao)已經打了各項安(an)全(quan)補(bu)丁。

2. 限(xian)制(zhi)訪(fang)問端的IP地址，阻止從其他(ta)地區(qu)連(lian)入。一般(ban)可以在網(wang)關防火墻(qiang)上進行配置，限(xian)制(zhi)能訪(fang)問映射(she)主機的IP地址。

3. 避免(mian)常用(yong)(yong)(yong)的(de)端口(kou)。比如你用(yong)(yong)(yong)默(mo)認(ren)的(de)3389端口(kou)，那么(me)攻(gong)(gong)擊程序立刻(ke)就知(zhi)道這(zhe)是遠程桌(zhuo)面服務，從而就可以采用(yong)(yong)(yong)對應的(de)滲透(tou)手動(dong)來攻(gong)(gong)擊。采用(yong)(yong)(yong)一些不(bu)常用(yong)(yong)(yong)的(de)端口(kou)可以起到一定(ding)的(de)保護作用(yong)(yong)(yong)。

4. 部署入侵(qin)防御(yu)，一旦發現(xian)外網(wang)攻(gong)(gong)擊時(shi)，可(ke)以及(ji)時(shi)阻(zu)止攻(gong)(gong)擊者的(de)IP地址。從而保護(hu)內網(wang)主機。

近年來公安部持續推出護網行動，以戰養兵，推進關鍵信息基礎設施的安全監測、應急響應等保障能力。為積極響應護網行動，做好安全防守工作；本文中，我將結合WSG上網行為管理網關來介紹網絡邊界的安全防護工作。服務器安全、內網安全并不在本文討論的課題內。

當前(qian)網絡(luo)安全形勢嚴峻，來自外網的(de)攻(gong)(gong)擊(ji)與日(ri)俱增。局域(yu)網一不小心就會(hui)受到病毒、蠕蟲、勒索軟件的(de)攻(gong)(gong)擊(ji)，導致嚴重的(de)損失。本文中，我將結(jie)合WSG網關（WFilter NGF）來介紹如何(he)阻止(zhi)(zhi)外網的(de)攻(gong)(gong)擊(ji)。請(qing)注意，本文只討論(lun)如何(he)阻止(zhi)(zhi)網絡(luo)攻(gong)(gong)擊(ji)，單機的(de)防(fang)護是另外的(de)課題不在本文的(de)討論(lun)范圍(wei)內。阻止(zhi)(zhi)外網攻(gong)(gong)擊(ji)主要包括(kuo)如下部分(fen)：

入侵(qin)檢測系統IDS（“Intrusion Detection System”）可(ke)以對網(wang)絡(luo)、系統的(de)運行(xing)狀況進行(xing)監(jian)視，發(fa)現各種攻(gong)擊(ji)(ji)企圖、攻(gong)擊(ji)(ji)行(xing)為(wei)或者攻(gong)擊(ji)(ji)結果，以保證網(wang)絡(luo)系統資(zi)源的(de)機密性(xing)、完整性(xing)和(he)可(ke)用性(xing)。而(er)入侵(qin)防御系統IPS（“Intrusion Prevention System”）在(zai)入侵(qin)檢測的(de)基礎上添加(jia)了防御功(gong)能，一(yi)旦發(fa)現網(wang)絡(luo)攻(gong)擊(ji)(ji)，可(ke)以根據該(gai)攻(gong)擊(ji)(ji)的(de)威(wei)脅(xie)級(ji)別立即采取抵御措施。兩(liang)者的(de)差別在(zai)于(yu)：

1. 功能(neng)不同(tong)。入侵防御系統在入侵檢測的(de)基礎之上還實(shi)現(xian)了防護(hu)的(de)功能(neng)。

2. 實時(shi)性要求不同。入(ru)侵(qin)防御必須分析(xi)實時(shi)數據，而入(ru)侵(qin)檢測(ce)可以基于歷史數據做事后分析(xi)。

3. 部署(shu)方式不同。入(ru)侵檢測一(yi)般通過(guo)端口鏡像(xiang)進(jin)行旁路部署(shu)，而入(ru)侵防御(yu)一(yi)般要串(chuan)聯部署(shu)。

互聯(lian)網(wang)(wang)上存(cun)在(zai)著大(da)量的(de)(de)惡意(yi)網(wang)(wang)站(zhan)和釣魚網(wang)(wang)站(zhan)，這些網(wang)(wang)站(zhan)通過在(zai)網(wang)(wang)頁上掛(gua)木馬程序，利用(yong)瀏(liu)覽(lan)器和操作系統的(de)(de)漏洞來(lai)入侵訪(fang)問者的(de)(de)電腦。一旦中毒，會給局域網(wang)(wang)帶(dai)來(lai)不可預知的(de)(de)損(sun)失(shi)，極大(da)的(de)(de)危害(hai)到局域網(wang)(wang)的(de)(de)網(wang)(wang)絡安全。

本文將介紹如(ru)何用WFilter NGF來屏蔽惡意網(wang)站，并且保護局域網(wang)不(bu)受惡意釣魚網(wang)站的(de)攻擊。總體來說，有以(yi)下兩個途(tu)徑：

入侵防御系統（Intrusion Prevention System）是對防病毒軟件和防火墻的有效補充。IPS可以監視網絡中的異常信息，并且能夠即時的中斷、阻止、告警內外網的異常網絡行為。
在WFilter NGF中，我們集成了(le)基于(yu)snort的入侵(qin)防御系統，該(gai)系統主要可以(yi)實現如下三個方(fang)面的功能：

1. 保(bao)護內網(wang)的(de)web服務器(qi)、文(wen)件服務器(qi)、郵件服務器(qi)。

2. 檢(jian)測內(nei)網終端的木馬和惡意軟件。

3. 檢(jian)測內(nei)網(wang)終端的異(yi)常網(wang)絡(luo)行(xing)為。

在本文(wen)中，我簡單介紹下如何實現(xian)這三個方面的(de)功能。

企業(ye)內(nei)(nei)(nei)網(wang)的(de)(de)服(fu)務器(qi)都(dou)存(cun)有企業(ye)的(de)(de)重要信(xin)息(xi)，包(bao)括CRM用(yong)戶信(xin)息(xi)、技術資料等。所以內(nei)(nei)(nei)網(wang)服(fu)務器(qi)的(de)(de)信(xin)息(xi)安全是(shi)企業(ye)網(wang)絡(luo)管理的(de)(de)重點(dian)。內(nei)(nei)(nei)網(wang)服(fu)務器(qi)不但面臨外來(lai)的(de)(de)攻(gong)擊，也會受(shou)到來(lai)自內(nei)(nei)(nei)部的(de)(de)攻(gong)擊。在本文(wen)中，我將介(jie)紹(shao)如何用(yong)WFilter NGF的(de)(de)入侵防御(yu)模塊來(lai)保護內(nei)(nei)(nei)網(wang)服(fu)務器(qi)。網(wang)絡(luo)結構(gou)圖如下：

WFilter NGF用網(wang)橋部(bu)署模式，接在內網(wang)和服務(wu)(wu)器(qi)網(wang)段以(yi)及(ji)互(hu)聯(lian)網(wang)之間，既可以(yi)做外網(wang)上網(wang)行為管理，又(you)可以(yi)保護(hu)服務(wu)(wu)器(qi)網(wang)段。

DDOS全稱Distributed Denial of Service，中文(wen)叫(jiao)做“分布式拒(ju)絕服(fu)務”，就(jiu)是(shi)利用大量合(he)法的(de)(de)分布式服(fu)務器對目標發送請求，從而導致正(zheng)常合(he)法用戶(hu)無法獲得服(fu)務。DDOS會耗盡網絡(luo)服(fu)務的(de)(de)資源，使服(fu)務器失去響應，為實(shi)施下一步(bu)網絡(luo)攻(gong)(gong)擊來(lai)做準備。比(bi)如用KaLi_Linux的(de)(de)hping3就(jiu)可以很容易的(de)(de)實(shi)現DDOS攻(gong)(gong)擊。

1. DDOS攻擊的具體步驟

如圖，未受攻(gong)擊時，netstat -nat可以(yi)查看到只(zhi)有(you)少量的網絡鏈(lian)接。