企业出于工作的需要,一般会映射一些内网主机供外网访问。比如:ERP系统、财务系统、CRM系统,甚至一些内网主机的远程桌面等等。分公司、出差员工在外网通过互联网就可以访问到内网资源,给工作带来了很大的便利。但是,不加限制和保护的端口映射访问,给网络安全带来了很大的挑战。
端口映射的内网主机安全,主要考虑如下几点:
1. 被映射的内网主机要安装防火墙,并且确保已经打了各项安全补丁。
2. 限制访问端的IP地址,阻止从其他地区连入。一般可以在网关防火墙上进行配置,限制能访问映射主机的IP地址。
3. 避免常用的端口。比如你用默认的3389端口,那么攻击程序立刻就知道这是远程桌面服务,从而就可以采用对应的渗透手动来攻击。采用一些不常用的端口可以起到一定的保护作用。
4. 部署入侵防御,一旦发现外网攻击时,可以及时阻止攻击者的IP地址。从而保护内网主机。
本文中,我将介绍如何用WSG网关中的“入侵防御”功能来保护内网主机资源。
1. 选择入侵防御的检测网卡
选择内网一侧的网卡,如果有多个内网网段,则选择要保护的内网主机网段。“自动选择”时,系统会自动在所有的内网网卡上开启检测。
2. 指定网段参数
定义要保护的内网网段。“自动选择”时,会自动选择所有的内网网段,以及常见的Web、FTP等端口。如果有内部的服务器需要保护,建议您点击“编辑所有参数”并在网段参数和端口参数中定义内网的服务器IP地址以及开放的服务端口。如下图,我们把要保护的内网IP地址都添加定义。
3. 选择特征库
对于内网服务器的保护,建议选择“恶意软件攻击”、“系统漏洞攻击”、“服务漏洞攻击”即可。如图:
4. 检查状态和日志
开启上述选项后,IPS系统即可开始工作。点击“记录查询”和“状态”图标,可以查看到当前的工作状态和日志信息。