笨驢技術(IMFirewall)博客

上級部門通知局域網內存在僵尸木馬要求網絡進行整改，作為網管人員需要怎樣去處置解決這個問題呢？首先，上級部門只能檢測到局域網總出口的IP地址，并不能識別終端的IP地址。當網內的終端數量比較多時，每臺電腦做病毒查殺的工作量太大了，網管人員會很頭疼這個問題。

比較合理的方案是在局域網內部署一臺入侵檢測系統，通過對網絡數據包進行分析檢測，從而發現問題主機。在本文中，我將以“WSG上網行為管理”為例，來介紹如何進行內網的木馬檢測。

WSG上網行為管理中內置了“入侵防御”和“木馬檢測”這兩個安全防護模塊，這兩個模塊的檢測原理都是入侵檢測snort。如下圖：

企業網絡信息安全問題日益突出，為了加強企業內部的網絡安全建設，網絡管理技術人員應當從如下幾個方面來設計網絡安全解決方案：

1. 合理的制度和管理

首先需要有完善的網絡安全管理制度，根據企業的實際工作需要制定符合公司實際情況的管理制度和措施來保證網絡的正常運行和網絡的安全運行，并且配備專業的技術人員負責管理維護內網的計算機和網絡設備。

越來越多的企事業單位開始重視信息安全，企業的技術資料、客戶信息等一旦發生信息泄露，會給企業帶來不可估計的損失。即使是網絡環境比較簡單的中小企業，也一樣會受到網絡安全的威脅。如果不注重網絡安全，往往會導致企業的重大損失。本文中，我將從網絡安全的角度，來論述如何保障公司內網的網絡信息安全。主要涉及到如下四點：

1. 合理的網絡架構
   

2. 了解內網的終端
   

3. 管控到外網的訪問

4. 管控來自外網的訪問
   

局域網內如果有電腦感染了木馬病毒，是一件讓人很頭疼的事情。對成百上千臺電腦一臺一臺的進行查殺，簡直就和大海撈針一樣，需要耗費大量的時間和人力。所以很多網管人員面對上級部門發來的整改函一籌莫展，大部分情況下最終只能一臺一臺的殺毒整理。

從技術原理上來說，上級部門是在網絡上層部署了入侵檢測系統，對網絡流量進行分析，從中識別出木馬病毒的特征；由于出口處做了網絡地址轉換，上級部門只能檢測到公網IP，而無法知道實際中毒的電腦。所以，你只需要在本地局域網中部署了入侵檢測，就可以檢測到本地的中毒電腦的IP地址和MAC地址。然后就可以直接對電腦進行查殺了。

如下圖，在WSG上網行為管理的“安全防護”-“入侵防御”中，點擊“IPS檢測項”，就可以看到入侵防御的各個選項。

一些企事業單位的局域網出于安全需要，必須指定的mac地址才可以聯網和訪問服務器資源。在本例中，我將結合WSG上網行為管理網關，來介紹如何通過客戶機的MAC地址來對客戶端進行身份認證，只有通過認證的客戶端設備才可以訪問網絡資源。網絡結構圖如下：

作者:笨小驢 | 分類:網絡安全方案 | 瀏覽:3320 | 評論:0

網管技術人員經常需要處理網站打不開的問題，而網站打不開可能有很多原因，作為一名合格的網絡技術人員，需要可以快速定位問題所在，然后加以解決。

本文中，我將介紹網站打不開的常見原因以及對應的解決方法。

1. 網站自身問題

2. DNS解析問題

3. 線路不通

4. 網絡安全策略

勒索軟件對企業數據有著毀滅性的破壞力，而且企業中了勒索病毒后，如果沒有相關的數據備份，要么承擔損失，要么只能支付贖金。因此勒索軟件的種類和擴散逐年遞增，防御勒索軟件工作成為了企業數據安全防護工作中的眾矢之的。

勒索軟件的傳播途徑和工作原理主要有兩種：

1). 通過攻擊windows服務器漏洞入侵到企業內網，然后再進行大面積的攻擊感染。

2). 通過郵件、網站掛馬、文件等方式，先感染個人電腦，然后攻擊整個局域網。

企業的內網存放著很多重要信息，比如公司的技術資料、客戶信息等。一旦發生信息泄露，會給企業帶來不可估計的損失。信息安全是系統工程，涉及到管理行政手段，文件加密技術、網絡安全技術等各方面。本文中，我將從網絡架構的角度，來論述如何保障內網的信息安全。主要涉及到如下兩點：

1. 如何防范非法接入？

2. 如何保障重要信息的安全？

WSG上網行為管理的“事件查看器”中記錄了一系列的事件、告警以及錯誤信息，包括操作日志、wan口聯通狀況、入侵攻擊事件、以及自定義的關鍵詞告警、流量告警和新增設備告警等事件日志。傳統的郵件告警方式已經越來不能滿足實時通知的需要。在本文中，我將介紹如何利用企業微信機器人來實現事件日志的實時發送。具體步驟如下：

1. 創建企業微信機器人

在手機版的企業微信群聊中，添加群機器人，并記錄webhook的URL地址。如下圖：

WSG的“事件查看器”中記錄了一系列的事件、告警以及錯誤信息，包括操作日志、wan口聯通狀況、入侵攻擊事件、以及自定義的關鍵詞告警、流量告警和新增設備告警等事件日志。傳統的郵件告警方式已經越來不能滿足實時通知的需要。在本文中，我將介紹如何利用釘釘機器人來實現事件日志的實時發送。具體步驟如下：

1. 添加釘釘機器人

首先需要在釘釘pc版的群助手里面添加機器人

網絡安全現在已經是互聯網領域的重要問題，網絡安全引發的事故也一直呈上升趨勢。中小企業雖然網絡環境比較簡單，但是一樣會受到網絡安全的威脅。如果不注重網絡安全，往往會導致企業的重大損失。下面我們就一起來看看中小企業面臨的常見網絡安全威脅：

眾所周知，SSL加密的通訊數據，比如https，pops, imaps, smtps，由于在通訊過程中進行非對稱加密，其數據是密文傳輸的；導致網絡監控不能直接監控到其內容，也無法對內容中的信息進行深度過濾。作為專業的上網行為管理系統，WFilter NGF在最新版本中，新增了“SSL監控模塊”。該SSL監控模塊，可以充當SSL的中間人進行證書攔截，從而解析出SSL加密的數據內容。利用該模塊，可以實現如下內容：

1. 記錄https網站的頁面內容、發帖內容。
   

2. 對https網站的訪問進行深度過濾，比如禁止https網站的下載文件格式、禁止在https網頁上傳附件等。

3. 記錄pops, imaps, smtps的郵件內容。

4. 對pops, imaps, smtps的郵件進行深度過濾，比如設置郵件發送接收黑白名單，禁止發送附件等等。

這里說的硬件防火墻，就是專業防火墻，入侵檢測，主動防御，病毒防護，這些基本的以外，還有殺毒庫，針對病毒查殺。這樣的硬件防火墻一般過萬，甚至過大幾萬。什么樣的局域網環境才需要呢。毋庸置疑，經濟上得是一個寬裕的局域網。技術上以及必要性上呢。

其實就一個必要性，局域網里面有對外網發布的WEB服務，比如WEB服務器，郵件服務器等。這樣可以從互聯互直接訪問，容易遭遇黑客，攻擊，這樣的環境，不管大小，千萬別吝嗇，買一臺硬防，有力又有利。

但是如果只是普通局域網，沒有需要外部訪問的服務器 ，有的路由上甚至連做端口映射 外部也就訪問不到內部的服務器了 
那么就沒有必要安裝硬件防火墻了。哪怕有ERP，有組網VPN，用不用專業硬件防火墻，技術上真的不重要，國內現在運營商已經把常見的80端口都禁止掉了，直接通過80端口連不了。而普通局域網要注重的則是內網安全，內網安全防護好了，外網自然也不會有任何問題。所謂安全，所謂防護，所謂上網行為管理，并不是局域網出了問題了，才來解決，而是平時上網建立良好的上網秩序，規范上網行為和內容，養成良好的上網行為習慣，網絡自然健康通暢。

這里說的路由，是千元以上的路由，一千塊以下的就不談的?，F在很多企業路由，都說有這樣的功能，

IP-MAC綁定是很多路由，網關的一個常見功能，主要用來綁定局域網終端的IP地址，防止終端隨便修改IP，導致網內IP地址沖突，而導致網絡歇火。先來說IP-MAC綁定的原理分兩個部分：前部分，所謂綁定，就是讓這臺電腦的MAC始終獲取同一個ip地址或者指定ip，這個做到很容易，很多路由都號稱有這樣功能稱之IP-MAC綁定。但是做到這一步，沒啥意義，因為上網終端一旦修改了IP，照樣可以上網，照樣IP沖突，真正夯實IP-MAC綁定的是后半部分，這個上網行為管理才可以做到（核心交換機也能做到，但是配置很麻煩費事）要有上網數據，通過行為管理來檢測這個這個MAC是不是一直都是獲取的這個IP，一旦不是獲取的這個IP或者IP被擅自修改了，就會讓MAC斷網?；蛘咭坏┯行碌臎]有登記再案的終端進來（電腦，路由或者手機）進來，即使插上，也無法上網