當(dāng)前網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，來(lái)自外網(wǎng)的攻擊與日俱增。局域網(wǎng)一不小心就會(huì)受到病毒、蠕蟲(chóng)、勒索軟件的攻擊，導(dǎo)致嚴(yán)重的損失。本文中，我將結(jié)合WSG網(wǎng)關(guān)（WFilter NGF）來(lái)介紹如何阻止外網(wǎng)的攻擊。請(qǐng)注意，本文只討論如何阻止網(wǎng)絡(luò)攻擊，單機(jī)的防護(hù)是另外的課題不在本文的討論范圍內(nèi)。阻止外網(wǎng)攻擊主要包括如下部分：

1. 合理的防火墻配置

防火墻策略首先要保護(hù)局域網(wǎng)設(shè)備，不讓外網(wǎng)直接訪問(wèn)到網(wǎng)關(guān)自身，也不轉(zhuǎn)發(fā)來(lái)自外網(wǎng)的數(shù)據(jù)。如下圖：WSG的“外網(wǎng)區(qū)域(WAN ZONE)”默認(rèn)是阻止“入方向（到WSG自身）”和“轉(zhuǎn)發(fā)方向（轉(zhuǎn)發(fā)到內(nèi)網(wǎng)）”。這是防火墻的第一道防護(hù)策略。

2. 注意端口映射的規(guī)則

雖然防火墻策略已經(jīng)阻止了來(lái)自外網(wǎng)的訪問(wèn)，但是端口映射的主機(jī)是不在此列的。做了端口映射，那就意味著把這臺(tái)主機(jī)暴露到了公網(wǎng)上。病毒一旦攻破了這個(gè)主機(jī)，就可以以這臺(tái)主機(jī)為跳板感染整個(gè)局域網(wǎng)。所以，端口映射一般要注意如下的規(guī)則：

1. 需要映射出去的主機(jī)單獨(dú)一個(gè)VLAN（也就是DMZ）。即使該主機(jī)被攻破，病毒也只能感染DMZ區(qū)，不會(huì)危害到整個(gè)內(nèi)網(wǎng)。
   

2. 避免常用的端口。比如你用默認(rèn)的3389端口，那么攻擊程序立刻就知道這是遠(yuǎn)程桌面服務(wù)，從而就可以采用對(duì)應(yīng)的滲透手動(dòng)來(lái)攻擊。采用一些不常用的端口可以起到一定的保護(hù)作用。

3. 阻止來(lái)自高風(fēng)險(xiǎn)區(qū)域的訪問(wèn)

主管部門(mén)經(jīng)常會(huì)發(fā)布一些外網(wǎng)攻擊的IP地址，我們可以直接把這些IP地址用防火墻阻止掉（配置下圖策略后，該IP無(wú)法訪問(wèn)映射的服務(wù)）。如下圖：

4. 采用更嚴(yán)格的訪問(wèn)限制策略

很多惡意攻擊都來(lái)源于國(guó)外，那么我們可以通過(guò)防火墻策略里面的“指定國(guó)家地區(qū)”功能。比如只允許來(lái)自中國(guó)地區(qū)的訪問(wèn)。實(shí)現(xiàn)該功能需要兩條策略配合，一條禁止所有，一條允許中國(guó)的IP。配置如下圖：

經(jīng)過(guò)上述配置后，即可有效的阻止來(lái)自外網(wǎng)的攻擊。其實(shí)外網(wǎng)攻擊主要攻擊的是端口映射的主機(jī)，并以此為跳板攻擊到內(nèi)網(wǎng)。如非必要，盡量不要直接做端口映射。