我們?cè)诠ぷ髦薪?jīng)常需要用到QQ和微信來(lái)交流和發(fā)送截圖，但是QQ和微信方便的外發(fā)文件功能，卻給企業(yè)的信息安全帶來(lái)挑戰(zhàn)。很多用戶咨詢?nèi)绾卧诒Ａ艚貓D功能的同時(shí)，又要屏蔽QQ和微信的外發(fā)文件功能。所以我們的技術(shù)人員專門(mén)做了針對(duì)性的測(cè)試。

本文中，我將介紹如何用WSG硬件網(wǎng)關(guān)（WFilter NGF）來(lái)屏蔽QQ和微信外發(fā)文件，同時(shí)保留截圖功能。

通訊協(xié)議分析

首先，QQ和微信的發(fā)送截圖和發(fā)送文件走的是同樣的數(shù)據(jù)通道。無(wú)法通過(guò)IP地址、通訊端口，以及協(xié)議特征來(lái)進(jìn)行區(qū)分。這里我們要用到WSG行為管理的一個(gè)特色功能：屏蔽疑似文件上傳功能。如下圖：

QQ和微信發(fā)送圖片和發(fā)送文件的特征分析

根據(jù)我們的測(cè)試，需要注意以下幾點(diǎn)：
1. QQ上傳文件時(shí)，會(huì)采用分片傳輸?shù)姆绞剑總€(gè)分片是512K左右的字節(jié)。
2. QQ截圖時(shí)，圖片文件大小在幾十到300K之間。
3. 微信截圖時(shí)，圖片文件大小在100K-300K之間。
4. QQ發(fā)送圖片的數(shù)據(jù)大小大約是微信的一半。

所以，我們建議用智能過(guò)濾功能，禁止超過(guò)400KB的疑似上傳行為。經(jīng)測(cè)試可以達(dá)到效果。該選項(xiàng)不能高于500K，否則QQ文件就分片傳出去了。

效果測(cè)試

具體的測(cè)試效果如下圖：