近年來公安部持續(xù)推出護網(wǎng)行動，以戰(zhàn)養(yǎng)兵，推進關(guān)鍵信息基礎設施的安全監(jiān)測、應急響應等保障能力。為積極響應護網(wǎng)行動，做好安全防守工作；本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)來介紹網(wǎng)絡邊界的安全防護工作。服務器安全、內(nèi)網(wǎng)安全并不在本文討論的課題內(nèi)。

WSG對網(wǎng)絡的安全防護，主要包括以下方面：

1. 網(wǎng)關(guān)自身的防護。
   

2. 端口映射的防護。

3. 入侵防御和檢測。

1. 網(wǎng)關(guān)自身的防護

首先要檢查防火墻的區(qū)域默認策略，外網(wǎng)的“入方向”（外網(wǎng)連接網(wǎng)關(guān)）、“轉(zhuǎn)發(fā)方向”（外網(wǎng)訪問內(nèi)網(wǎng)）都要設置為“阻止”。如圖：

逐條檢查防火墻策略，尤其是“外網(wǎng)”的“入方向”和“轉(zhuǎn)發(fā)方向”的策略。對于允許的策略，盡量要設置源IP范圍（不限制源IP的話，攻擊者就可以據(jù)此進行攻擊）

WSG的遠程訪問功能一定要檢查下。盡量不要允許外網(wǎng)訪問，如果允許外網(wǎng)訪問則應當限制外網(wǎng)訪問的IP地址。

經(jīng)過上述步驟后，我們已經(jīng)堵住了外網(wǎng)攻擊WSG網(wǎng)關(guān)的各種途徑。

2. 端口映射的防護

出于工作需要，很多企業(yè)會映射一些內(nèi)網(wǎng)服務供外網(wǎng)訪問。這些端口映射是內(nèi)網(wǎng)安全的最大漏洞，攻擊者可以以此為跳板滲透到整個內(nèi)網(wǎng)。對于端口映射，我們有如下建議：

1. 盡量不要用端口映射，可以先做遠程撥入后再進行訪問。
   

2. 如果做了端口映射，被映射的內(nèi)網(wǎng)主機要安裝防火墻，并且確保已經(jīng)打了各項安全補丁。

3. 限制訪問端的IP地址，阻止從其他地區(qū)連入。

4. 避免常用的端口。比如你用默認的3389端口，那么攻擊程序立刻就知道這是遠程桌面服務，從而就可以采用對應的滲透手動來攻擊。采用一些不常用的端口可以起到一定的保護作用。

比如公司的外網(wǎng)業(yè)務訪問有固定的IP區(qū)域，可以在“防火墻規(guī)則”中做如下配置：

3. 入侵防御和檢測

企業(yè)由于業(yè)務需要，有些內(nèi)部服務必須對外網(wǎng)開放。除了在“端口映射的防護”這一小節(jié)中強調(diào)的要點之外，還可以開啟“入侵防御”功能，一旦有外網(wǎng)攻擊內(nèi)部主機。可以檢測并進行阻止。