企業(yè)出于工作的需要，一般會映射一些內(nèi)網(wǎng)主機供外網(wǎng)訪問。比如：ERP系統(tǒng)、財務(wù)系統(tǒng)、CRM系統(tǒng)，甚至一些內(nèi)網(wǎng)主機的遠(yuǎn)程桌面等等。分公司、出差員工在外網(wǎng)通過互聯(lián)網(wǎng)就可以訪問到內(nèi)網(wǎng)資源，給工作帶來了很大的便利。但是，不加限制和保護(hù)的端口映射訪問，給網(wǎng)絡(luò)安全帶來了很大的挑戰(zhàn)。

端口映射的內(nèi)網(wǎng)主機安全，主要考慮如下幾點：

1. 被映射的內(nèi)網(wǎng)主機要安裝防火墻，并且確保已經(jīng)打了各項安全補丁。

2. 限制訪問端的IP地址，阻止從其他地區(qū)連入。一般可以在網(wǎng)關(guān)防火墻上進(jìn)行配置，限制能訪問映射主機的IP地址。

3. 避免常用的端口。比如你用默認(rèn)的3389端口，那么攻擊程序立刻就知道這是遠(yuǎn)程桌面服務(wù)，從而就可以采用對應(yīng)的滲透手動來攻擊。采用一些不常用的端口可以起到一定的保護(hù)作用。

4. 部署入侵防御，一旦發(fā)現(xiàn)外網(wǎng)攻擊時，可以及時阻止攻擊者的IP地址。從而保護(hù)內(nèi)網(wǎng)主機。

本文中，我將介紹如何用WSG網(wǎng)關(guān)中的“入侵防御”功能來保護(hù)內(nèi)網(wǎng)主機資源。

1. 選擇入侵防御的檢測網(wǎng)卡

選擇內(nèi)網(wǎng)一側(cè)的網(wǎng)卡，如果有多個內(nèi)網(wǎng)網(wǎng)段，則選擇要保護(hù)的內(nèi)網(wǎng)主機網(wǎng)段。“自動選擇”時，系統(tǒng)會自動在所有的內(nèi)網(wǎng)網(wǎng)卡上開啟檢測。

2. 指定網(wǎng)段參數(shù)

定義要保護(hù)的內(nèi)網(wǎng)網(wǎng)段。“自動選擇”時，會自動選擇所有的內(nèi)網(wǎng)網(wǎng)段，以及常見的Web、FTP等端口。如果有內(nèi)部的服務(wù)器需要保護(hù)，建議您點擊“編輯所有參數(shù)”并在網(wǎng)段參數(shù)和端口參數(shù)中定義內(nèi)網(wǎng)的服務(wù)器IP地址以及開放的服務(wù)端口。如下圖，我們把要保護(hù)的內(nèi)網(wǎng)IP地址都添加定義。

3. 選擇特征庫

對于內(nèi)網(wǎng)服務(wù)器的保護(hù)，建議選擇“惡意軟件攻擊”、“系統(tǒng)漏洞攻擊”、“服務(wù)漏洞攻擊”即可。如圖：

4. 檢查狀態(tài)和日志

開啟上述選項后，IPS系統(tǒng)即可開始工作。點擊“記錄查詢”和“狀態(tài)”圖標(biāo)，可以查看到當(dāng)前的工作狀態(tài)和日志信息。