「互盟云」如何阻止外网攻击公司局域网
当前网络安全形势严峻 , 来自外网的攻击与日俱增 。 局域网一不小心就会受到病毒、蠕虫、勒索软件的攻击 , 导致严重的损失 。 本文中 , 我将结合WSG网关(WFilterNGF)来介绍如何阻止外网的攻击 。 请注意 , 本文只讨论如何阻止网络攻击 , 单机的防护是另外的课题不在本文的讨论范围内 。 阻止外网攻击主要包括如下部分:
1.合理的防火墙配置
防火墙策略首先要保护局域网设备 , 不让外网直接访问到网关自身 , 也不转发来自外网的数据 。 如下图:WSG的“外网区域(WANZONE)”默认是阻止“入方向(到WSG自身)”和“转发方向(转发到内网)” 。 这是防火墙的第一道防护策略 。
文章图片
【「互盟云」如何阻止外网攻击公司局域网】2.注意端口映射的规则
虽然防火墙策略已经阻止了来自外网的访问 , 但是端口映射的主机是不在此列的 。 做了端口映射 , 那就意味着把这台主机暴露到了公网上 。 病毒一旦攻破了这个主机 , 就可以以这台主机为跳板感染整个局域网 。 所以 , 端口映射一般要注意如下的规则:
需要映射出去的主机单独一个VLAN(也就是DMZ) 。 即使该主机被攻破 , 病毒也只能感染DMZ区 , 不会危害到整个内网 。
避免常用的端口 。 比如你用默认的3389端口 , 那么攻击程序立刻就知道这是远程桌面服务 , 从而就可以采用对应的渗透手动来攻击 。 采用一些不常用的端口可以起到一定的保护作用 。
3.阻止来自高风险区域的访问
主管部门经常会发布一些外网攻击的IP地址 , 我们可以直接把这些IP地址用防火墙阻止掉(配置下图策略后 , 该IP无法访问映射的服务) 。 如下图:
文章图片
文章图片
4.采用更严格的访问限制策略
很多恶意攻击都来源于国外 , 那么我们可以通过防火墙策略里面的“指定国家地区”功能 。 比如只允许来自中国地区的访问 。 实现该功能需要两条策略配合 , 一条禁止所有 , 一条允许中国的IP 。 配置如下图:
文章图片
文章图片
经过上述配置后 , 即可有效的阻止来自外网的攻击 。 其实外网攻击主要攻击的是端口映射的主机 , 并以此为跳板攻击到内网 。 如非必要 , 尽量不要直接做端口映射 。
- 海峡生活汇印度对中国虎视眈眈,我国将如何迎接挑战,英国仍想着事后清算
- JEECG前端Chrome调试小技巧汇总
- 购房置业▲社保未缴满15年如何补救,这4种方式都可以,劝你不要选第4个
- 崔元新不输当前5G新机的4款旧旗舰,你如何选择呢?,新一轮降价潮
- 讲故事的女人是如何对待她们的?说出来你绝对不敢相信,萨达姆俘虏美国女兵后
- 我家的猫叫皮蛋台积电急了,纯国产芯片来了,华为设计,中芯生产你如何评价?,ASML断供失效
- 印度尼西亚:又一场对峙在南海上演,双方直接打开雷达照射,再不阻止就晚了
- 聚成教育Excel表格技巧—Excel 如何给文字加拼音
- 聚成教育PPT演示技巧—如何快速将 PPT 的字体统一为微软雅黑
- 海峡两岸@海峡两岸丨台湾民众申请纾困金,如何证明自己穷成了一大难题