28
2020
05

护网行动开展,WSG如何应对护网行动?

近年来公安部持续推出护网行动,以战养兵,推进关键信息基础设施的安全监测、应急响应等保障能力。为积极响应护网行动,做好安全防守工作;本文中,我将结合WSG上网行为管理网关来介绍网络边界的安全防护工作。服务器安全、内网安全并不在本文讨论的课题内。

u=2593920443,2859537649&fm=26&gp=0.jpg.png

WSG对网络的安全防护,主要包括以下方面:

  1. 网关自身的防护。

  2. 端口映射的防护。

  3. 入侵防御和检测。

1. 网关自身的防护

首先要检查防火墙的区域默认策略,外网的“入方向”(外网连接网关)、“转发方向”(外网访问内网)都要设置为“阻止”。如图:

202005281590632826360897.png

逐条检查防火墙策略,尤其是“外网”的“入方向”和“转发方向”的策略。对于允许的策略,尽量要设置源IP范围(不限制源IP的话,攻击者就可以据此进行攻击)

202005281590633449113853.png

WSG的远程访问功能一定要检查下。尽量不要允许外网访问,如果允许外网访问则应当限制外网访问的IP地址。

202005281590636713967714.png

经过上述步骤后,我们已经堵住了外网攻击WSG网关的各种途径。

2. 端口映射的防护

出于工作需要,很多企业会映射一些内网服务供外网访问。这些端口映射是内网安全的最大漏洞,攻击者可以以此为跳板渗透到整个内网。对于端口映射,我们有如下建议:

  1. 尽量不要用端口映射,可以先做远程拨入后再进行访问。

  2. 如果做了端口映射,被映射的内网主机要安装防火墙,并且确保已经打了各项安全补丁。

  3. 限制访问端的IP地址,阻止从其他地区连入。

  4. 避免常用的端口。比如你用默认的3389端口,那么攻击程序立刻就知道这是远程桌面服务,从而就可以采用对应的渗透手动来攻击。采用一些不常用的端口可以起到一定的保护作用。

比如公司的外网业务访问有固定的IP区域,可以在“防火墙规则”中做如下配置:

202005281590637981925524.png

3. 入侵防御和检测

企业由于业务需要,有些内部服务必须对外网开放。除了在“端口映射的防护”这一小节中强调的要点之外,还可以开启“入侵防御”功能,一旦有外网攻击内部主机。可以检测并进行阻止。

202005281590643564131632.png


« 上一篇 下一篇 »