近年來(lái)公安部持續(xù)推出護(hù)網(wǎng)行動(dòng)，以戰(zhàn)養(yǎng)兵，推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施的安全監(jiān)測(cè)、應(yīng)急響應(yīng)等保障能力。為積極響應(yīng)護(hù)網(wǎng)行動(dòng)，做好安全防守工作；本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)來(lái)介紹網(wǎng)絡(luò)邊界的安全防護(hù)工作。服務(wù)器安全、內(nèi)網(wǎng)安全并不在本文討論的課題內(nèi)。

WSG對(duì)網(wǎng)絡(luò)的安全防護(hù)，主要包括以下方面：

1. 網(wǎng)關(guān)自身的防護(hù)。
   

2. 端口映射的防護(hù)。

3. 入侵防御和檢測(cè)。

1. 網(wǎng)關(guān)自身的防護(hù)

首先要檢查防火墻的區(qū)域默認(rèn)策略，外網(wǎng)的“入方向”（外網(wǎng)連接網(wǎng)關(guān)）、“轉(zhuǎn)發(fā)方向”（外網(wǎng)訪問(wèn)內(nèi)網(wǎng)）都要設(shè)置為“阻止”。如圖：

逐條檢查防火墻策略，尤其是“外網(wǎng)”的“入方向”和“轉(zhuǎn)發(fā)方向”的策略。對(duì)于允許的策略，盡量要設(shè)置源IP范圍（不限制源IP的話，攻擊者就可以據(jù)此進(jìn)行攻擊）

WSG的遠(yuǎn)程訪問(wèn)功能一定要檢查下。盡量不要允許外網(wǎng)訪問(wèn)，如果允許外網(wǎng)訪問(wèn)則應(yīng)當(dāng)限制外網(wǎng)訪問(wèn)的IP地址。

經(jīng)過(guò)上述步驟后，我們已經(jīng)堵住了外網(wǎng)攻擊WSG網(wǎng)關(guān)的各種途徑。

2. 端口映射的防護(hù)

出于工作需要，很多企業(yè)會(huì)映射一些內(nèi)網(wǎng)服務(wù)供外網(wǎng)訪問(wèn)。這些端口映射是內(nèi)網(wǎng)安全的最大漏洞，攻擊者可以以此為跳板滲透到整個(gè)內(nèi)網(wǎng)。對(duì)于端口映射，我們有如下建議：

1. 盡量不要用端口映射，可以先做遠(yuǎn)程撥入后再進(jìn)行訪問(wèn)。
   

2. 如果做了端口映射，被映射的內(nèi)網(wǎng)主機(jī)要安裝防火墻，并且確保已經(jīng)打了各項(xiàng)安全補(bǔ)丁。

3. 限制訪問(wèn)端的IP地址，阻止從其他地區(qū)連入。

4. 避免常用的端口。比如你用默認(rèn)的3389端口，那么攻擊程序立刻就知道這是遠(yuǎn)程桌面服務(wù)，從而就可以采用對(duì)應(yīng)的滲透手動(dòng)來(lái)攻擊。采用一些不常用的端口可以起到一定的保護(hù)作用。

比如公司的外網(wǎng)業(yè)務(wù)訪問(wèn)有固定的IP區(qū)域，可以在“防火墻規(guī)則”中做如下配置：

3. 入侵防御和檢測(cè)

企業(yè)由于業(yè)務(wù)需要，有些內(nèi)部服務(wù)必須對(duì)外網(wǎng)開(kāi)放。除了在“端口映射的防護(hù)”這一小節(jié)中強(qiáng)調(diào)的要點(diǎn)之外，還可以開(kāi)啟“入侵防御”功能，一旦有外網(wǎng)攻擊內(nèi)部主機(jī)?？梢詸z測(cè)并進(jìn)行阻止。