對局域網進行漏洞掃描，可以提前發現內網的安全漏洞，比如弱密碼、系統漏洞、未授權訪問等問題；及時修復這些問題，可以有效地避免黑客攻擊等安全事件的發生，保護企業或組織的信息資產安全。在本例中，我將結合WSG上網行為管理的“漏洞掃描”功能，介紹如何對局域網電腦進行漏洞掃描，以及相應的整改操作。

1. 添加掃描任務

在“漏洞掃描”模塊中新增掃描任務，輸入掃描的目標網段，指定任務運行的時間，保存配置。

電腦一旦被安裝了挖礦程序，會帶來很多危害：占用大量的電力和運算資源、拖慢機器、感染局域網內的其他終端......所以，挖礦行為目前是被各級部門明令禁止的，一旦被上級部門檢測到有挖礦行為，很可能會被阻止互聯網接入直至整改完成。當接到上級部門通告時，作為網管人員需要怎樣去處置解決這個問題呢？

被上級部門檢測到，一般存在如下三種情況：

1. 訪問了礦池或者虛擬貨幣服務器的目標IP

2. 訪問了“挖礦”域名（HTTP/HTTPS）

3. 查詢了“挖礦”域名（DNS）

上級部門通知局域網內存在僵尸木馬要求網絡進行整改，作為網管人員需要怎樣去處置解決這個問題呢？首先，上級部門只能檢測到局域網總出口的IP地址，并不能識別終端的IP地址。當網內的終端數量比較多時，每臺電腦做病毒查殺的工作量太大了，網管人員會很頭疼這個問題。

比較合理的方案是在局域網內部署一臺入侵檢測系統，通過對網絡數據包進行分析檢測，從而發現問題主機。在本文中，我將以“WSG上網行為管理”為例，來介紹如何進行內網的木馬檢測。

WSG上網行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊，這兩個模塊的檢測原理都是入侵檢測snort。如下圖：

局域網內電腦中了木馬病毒，會有帶來下述壞處：

1. 感染內網其他電腦。

2. 大量攻擊數據的存在，使得網絡緩慢，被攻擊的電腦運行緩慢。

發現內網電腦中毒后，一般都會采取重新安裝系統，或者全盤殺毒的方式。但是如果電腦比較多就讓人很頭疼了。首先要追蹤查找到感染了木馬病毒的電腦，然后才可以進行病毒查殺。有些殺毒軟件或者防火墻可以檢測到內網的攻擊源，本文中，我將介紹如何用WSG上網行為管理的“木馬檢測”功能來進行檢測。WSG上網行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊，如下圖：

局域網內如果有電腦感染了木馬病毒，是一件讓人很頭疼的事情。對成百上千臺電腦一臺一臺的進行查殺，簡直就和大海撈針一樣，需要耗費大量的時間和人力。所以很多網管人員面對上級部門發來的整改函一籌莫展，大部分情況下最終只能一臺一臺的殺毒整理。

從技術原理上來說，上級部門是在網絡上層部署了入侵檢測系統，對網絡流量進行分析，從中識別出木馬病毒的特征；由于出口處做了網絡地址轉換，上級部門只能檢測到公網IP，而無法知道實際中毒的電腦。所以，你只需要在本地局域網中部署了入侵檢測，就可以檢測到本地的中毒電腦的IP地址和MAC地址。然后就可以直接對電腦進行查殺了。

如下圖，在WSG上網行為管理的“安全防護”-“入侵防御”中，點擊“IPS檢測項”，就可以看到入侵防御的各個選項。

勒索軟件對企業數據有著毀滅性的破壞力，而且企業中了勒索病毒后，如果沒有相關的數據備份，要么承擔損失，要么只能支付贖金。因此勒索軟件的種類和擴散逐年遞增，防御勒索軟件工作成為了企業數據安全防護工作中的眾矢之的。

勒索軟件的傳播途徑和工作原理主要有兩種：

1). 通過攻擊windows服務器漏洞入侵到企業內網，然后再進行大面積的攻擊感染。

2). 通過郵件、網站掛馬、文件等方式，先感染個人電腦，然后攻擊整個局域網。