当前网络安全形势严峻,来自外网的攻击与日俱增。局域网一不小心,就会受到病毒、蠕虫、勒索软件的攻击,造成严重的损失。在本文中,我将结合WSGGateway(WFilterNGF)来介绍如何防范外网攻击。请注意,本文只讨论如何防止网络攻击,单机的保护是本文讨论范围之外的另一个话题。防范外网攻击主要包括以下几个部分:1.合理的防火墙配置防火墙策略首先要保护局域网设备,防止外网直接访问网关本身,不能转发外网数据。如下图:WSG的“WANZONE”默认屏蔽“传入方向(到WSG自身)”和“转发方向(转发到内网)”。这是防火墙的第一道防御策略。2、注意端口映射规则。虽然防火墙策略已经阻止了外网的访问,但是端口映射的主机不在这个列表中。端口映射做好了,也就意味着这台主机暴露在了公网中。病毒一旦攻破这台主机,就可以利用这台主机作为跳板,感染整个局域网。因此,端口映射一般要注意以下规则:需要映射出去的主机只有一个VLAN(即DMZ)。即使主机被攻破,病毒也只能感染DMZ区域,不会危害整个内网。避免使用常用端口。比如你使用默认的3389端口,那么攻击程序马上就会知道这是一个远程桌面服务,那么你就可以使用对应的渗透手册进行攻击。使用一些不常用的端口可以起到一定的保护作用。3.防止从高风险区域进入。主管部门经常会公布一些IP地址用于对外网络攻击。我们可以直接用防火墙屏蔽这些IP地址(下图配置策略后,该IP无法访问映射的服务)。如下图所示:4.采用更严格的访问限制策略。很多恶意攻击来源于国外,可以利用防火墙策略中的“指定国家和地区”功能。例如,只允许来自中国的访问。要实现这个功能,需要两个策略,一个是全部禁止,一个是允许中国IP。配置如下图所示:通过以上配置,可以有效防止来自外网的攻击。实际上,外网攻击主要是攻击带有端口映射的主机,并以此为跳板攻击内网。如非必要,尽量不要直接做端口映射。
