企業出于工作的需要,一般會映射一些內網主機供外網訪問。比如:ERP系統、財務系統、CRM系統,甚至一些內網主機的遠程桌面等等。分公司、出差員工在外網通過互聯網就可以訪問到內網資源,給工作帶來了很大的便利。但是,不加限制和保護的端口映射訪問,給網絡安全帶來了很大的挑戰。
端口映射的內網主機安全,主要考慮如下幾點:
1. 被映射的內網主機要安裝防火墻,并且確保已經打了各項安全補丁。
2. 限制訪問端的IP地址,阻止從其他地區連入。一般可以在網關防火墻上進行配置,限制能訪問映射主機的IP地址。
3. 避免常用的端口。比如你用默認的3389端口,那么攻擊程序立刻就知道這是遠程桌面服務,從而就可以采用對應的滲透手動來攻擊。采用一些不常用的端口可以起到一定的保護作用。
4. 部署入侵防御,一旦發現外網攻擊時,可以及時阻止攻擊者的IP地址。從而保護內網主機。
本文中,我將介紹如何用WSG網關中的“入侵防御”功能來保護內網主機資源。
1. 選擇入侵防御的檢測網卡
選擇內網一側的網卡,如果有多個內網網段,則選擇要保護的內網主機網段。“自動選擇”時,系統會自動在所有的內網網卡上開啟檢測。
2. 指定網段參數
定義要保護的內網網段。“自動選擇”時,會自動選擇所有的內網網段,以及常見的Web、FTP等端口。如果有內部的服務器需要保護,建議您點擊“編輯所有參數”并在網段參數和端口參數中定義內網的服務器IP地址以及開放的服務端口。如下圖,我們把要保護的內網IP地址都添加定義。
3. 選擇特征庫
對于內網服務器的保護,建議選擇“惡意軟件攻擊”、“系統漏洞攻擊”、“服務漏洞攻擊”即可。如圖:
4. 檢查狀態和日志
開啟上述選項后,IPS系統即可開始工作。點擊“記錄查詢”和“狀態”圖標,可以查看到當前的工作狀態和日志信息。